Antivirus 2008 PRO - virusmeldungen und spyware warnungen |
||
---|---|---|
#0
| ||
11.06.2008, 12:54
Member
Beiträge: 13 |
||
|
||
11.06.2008, 13:57
Moderator
Beiträge: 5694 |
#2
Hallo Stefano78
« Lade folgende Datei bei www.virustotal.com/de hoch und poste das Ergebnis C:\WINDOWS\pebgkxwq.exe « mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2«« wende smitfraudfix Option 2 an (im abgesicherten modus) http://virus-protect.org/artikel/tools/smitfrautfix.html « wende rvaxo im abgesicherten Modus an + poste dann den report hier http://virus-protect.org/artikel/tools/rvaxo.html « scannen + poste den report http://virus-protect.org/artikel/tools/malwarebytes.html « dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp Gruss Swiss Dieser Beitrag wurde am 11.06.2008 um 14:48 Uhr von Tonstudio editiert.
|
|
|
||
11.06.2008, 14:20
Member
Themenstarter Beiträge: 13 |
#3
Hallo Swiss,
zuerst vielen Dank für die Hilfe. Hier das Ergebnis von der Datei: C:\WINDOWS\pebgkxwq.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.6.11.0 2008.06.11 - AntiVir 7.8.0.55 2008.06.11 - Authentium 5.1.0.4 2008.06.11 - Avast 4.8.1195.0 2008.06.11 - AVG 7.5.0.516 2008.06.11 Downloader.Adload.JD BitDefender 7.2 2008.06.11 - CAT-QuickHeal 9.50 2008.06.10 Trojan.Vapsup.foh ClamAV 0.92.1 2008.06.11 - DrWeb 4.44.0.09170 2008.06.11 - eSafe 7.0.15.0 2008.06.11 - eTrust-Vet 31.6.5865 2008.06.11 Win32/Pripecs!generic Ewido 4.0 2008.06.11 - F-Prot 4.4.4.56 2008.06.10 - F-Secure 6.70.13260.0 2008.06.11 - Fortinet 3.14.0.0 2008.06.10 - GData 2.0.7306.1023 2008.06.11 - Ikarus T3.1.1.26.0 2008.06.11 Trojan.Win32.Small.ZZB Kaspersky 7.0.0.125 2008.06.11 - McAfee 5314 2008.06.10 - Microsoft 1.3604 2008.06.11 Trojan:Win32/Small.ZZB NOD32v2 3177 2008.06.11 - Norman 5.80.02 2008.06.10 - Panda 9.0.0.4 2008.06.10 Adware/VapSup Prevx1 V2 2008.06.11 Malicious Software Rising 20.48.22.00 2008.06.11 Trojan.Win32.Vapsup.eml Sophos 4.30.0 2008.06.11 - Sunbelt 3.0.1145.1 2008.06.05 - Symantec 10 2008.06.11 - TheHacker 6.2.92.342 2008.06.11 - VBA32 3.12.6.7 2008.06.10 - VirusBuster 4.3.26:9 2008.06.10 - Webwasher-Gateway 6.6.2 2008.06.11 - weitere Informationen File size: 81920 bytes MD5...: 47557ec986651d968c61ebd080e5a720 SHA1..: d027e9cce79a98322b0f68d96378e29e02fa94b9 SHA256: 730d4f80008b4bfc489ad2ed0c55300ae768189c7939ddaee4f5c5a2f2c58218 SHA512: 380ec7aa98315291930ed58f48a24fcc3a4e396eba641a42752db22d926e7e01 230f5023dd00e3e3436a6537249600d253bae622401847ac58d1d285bfca6783 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x403d38 timedatestamp.....: 0x484e968a (Tue Jun 10 14:58:18 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xaed7 0xb000 6.59 00ef578ea7d153d58882339b1809be69 .rdata 0xc000 0x42a2 0x5000 4.71 2b1b1126f57d91c2abdd8cac474906ed .data 0x11000 0x2e04 0x2000 1.52 889cad1fbc77ad5de3c923a3e032f087 .rsrc 0x14000 0xb0 0x1000 3.06 cec9b95146f57b35474dc9da6c445146 ( 4 imports ) > KERNEL32.dll: LoadLibraryW, TerminateProcess, GetProcAddress, CloseHandle, SetLastError, GetCurrentProcessId, MultiByteToWideChar, GetLastError, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, EnterCriticalSection, LeaveCriticalSection, HeapFree, GetCommandLineA, GetVersionExA, HeapAlloc, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, GetCurrentThreadId, InterlockedDecrement, Sleep, HeapSize, ExitProcess, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, DeleteCriticalSection, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, WideCharToMultiByte, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, WriteFile, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, LoadLibraryA, InitializeCriticalSection, SetStdHandle, GetConsoleCP, GetConsoleMode, FlushFileBuffers, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetFilePointer, CreateFileA > ADVAPI32.dll: RegSetValueExW, RegDeleteValueW > SHELL32.dll: SHGetSpecialFolderPathW > ole32.dll: CoInitialize -------------------------------------------------------------- mit dem HijackThis löschen ("fixen") erledigt Neustart durchgeführt! Ich finde keine smitfraudfix Option 2 kannst Du das bitte genauer beschreiben? Gruß Stefano78 ( 0 exports ) Dieser Beitrag wurde am 11.06.2008 um 14:39 Uhr von stefano78 editiert.
|
|
|
||
11.06.2008, 14:43
Moderator
Beiträge: 5694 |
#4
Hier ist die Anleitung:
http://virus-protect.org/artikel/tools/smitfrautfix.html Zitat 1 Dieser Beitrag wurde am 11.06.2008 um 14:47 Uhr von Tonstudio editiert.
|
|
|
||
11.06.2008, 14:54
Ehrenmitglied
Beiträge: 29434 |
#5
stefano78
nach Abarbeiten von smitfraudfix: 1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden ---------- dann kümmern wir uns um den verseuchten USB-Stick !!!!!!!!!! « __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.06.2008, 15:19
Member
Themenstarter Beiträge: 13 |
#6
Hallo Sabina,
Nachdem ich alles gemacht habe wie beschrieben erscheint beim doppelklick auf smitfraudfix.cmd ein Fenster mit DATEI DOWNLOAD ausführen. Wenn ich auf Ausführen klicke erscheint ein rotes Fenster mit der Meldung: smitfraudfix v2.323 Process.exe file missing Drücken Sie eine beliebige Taste. ------- was habe ich falsch gemacht? Gruß Stefano |
|
|
||
11.06.2008, 15:28
Ehrenmitglied
Beiträge: 29434 |
#7
dann lass den smitfraudfix erst mal und arbeite alles weitere ab, was ich geschrieben habe
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.06.2008, 15:36
Member
Themenstarter Beiträge: 13 |
#8
Zitat Sabina posteteHallo, Der Editor (Start - Alle Programme - Zubehör - Editor) geht gar nicht erst auf es passiert nichts! |
|
|
||
11.06.2008, 15:58
Ehrenmitglied
Beiträge: 29434 |
#9
««
http://virus-protect.org/artikel/tools/otmoveIt.html öffne: OTMoveIt.exe OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move Zitat C:\WINDOWS\system32\clkcnt.txtKlicke auf den Roten MoveIt! ------------------- wende sdfix im abgesicherten modus an RunThis.bat doppelt klicken http://virus-protect.org/artikel/tools/sdfix.html poste dann nach neustart das log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.06.2008, 16:44
Member
Themenstarter Beiträge: 13 |
#10
Hallo Sabina,
alles erledigt! hier ist das Logfile von RunThis.bat: SDFix: Version 1.191 Run by MichaelP on 11.06.2008 at 16:25 Microsoft Windows XP [Version 5.1.2600] Running From: C:\DOKUME~1\MichaelP\Desktop\SDFix\SDFix Checking Services : Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\DOKUME~1\MICHAELP\LOKALE~1\TEMPBO~1.EXE - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-11 16:39:15 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... D:\Programme\ComPlus Applications D:\Programme\Executive Software D:\Programme\Gemeinsame Dateien\CMEII(2) D:\Programme\Gemeinsame Dateien\CMEII(2)\cmediagnostics.log 590 bytes D:\Programme\Gemeinsame Dateien\DESIGNER D:\Programme\Gemeinsame Dateien\DESIGNER\MSADDNDR.DLL 86016 bytes executable D:\Programme\Gemeinsame Dateien\Dienste D:\Programme\Gemeinsame Dateien\Dienste\bigfoot.bmp 2702 bytes D:\Programme\Gemeinsame Dateien\Dienste\verisign.bmp 2702 bytes D:\Programme\Gemeinsame Dateien\Dienste\whowhere.bmp 2702 bytes D:\Programme\Gemeinsame Dateien\GMT(2) D:\Programme\Gemeinsame Dateien\GMT(2)\gator.log 6941 bytes D:\Programme\Gemeinsame Dateien\GMT(2)\helper.wav 29390 bytes D:\Programme\Gemeinsame Dateien\GMT(2)\mepcme.dat 148 bytes D:\Programme\Gemeinsame Dateien\GMT(2)\mepcmeft.dat 148 bytes D:\Programme\Gemeinsame Dateien\GMT(2)\mepgh.dat 148 bytes D:\Programme\Gemeinsame Dateien\GMT(2)\meprca.dat 148 bytes D:\Programme\Gemeinsame Dateien\InstallShield scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 1626 EDIT (Sabina) Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "D:\\Programme\\MSN Messenger\\msnmsgr.exe"="D:\\Programme\\MSN Messenger\\msnmsgr.exe:*isabled:Messenger" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] Remaining Files : File Backups: - C:\DOKUME~1\MichaelP\Desktop\SDFix\SDFix\backups\backups.zip Files with Hidden Attributes : Fri 4 Jun 2004 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Mon 22 Jul 2002 418,816 ...HR --- "C:\WINDOWS\system32\Tools\All.exe" Fri 19 Jul 2002 390,144 ...HR --- "C:\WINDOWS\system32\Tools\Change.exe" Fri 19 Jul 2002 574,464 ...HR --- "C:\WINDOWS\system32\Tools\CheckPath.exe" Tue 20 Aug 2002 430,592 ...HR --- "C:\WINDOWS\system32\Tools\Counter.exe" Tue 23 Jul 2002 390,656 ...HR --- "C:\WINDOWS\system32\Tools\DelFolders.exe" Fri 22 Nov 2002 399,872 ...HR --- "C:\WINDOWS\system32\Tools\DirectSetup.exe" Fri 19 Jul 2002 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RegClean.exe" Fri 19 Jul 2002 388,608 ...HR --- "C:\WINDOWS\system32\Tools\Regexe.exe" Fri 19 Jul 2002 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RunRegexe.exe" Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\BIT1.tmp" Finished! |
|
|
||
11.06.2008, 23:32
Ehrenmitglied
Beiträge: 29434 |
#11
«
auf D:\ versteckte Systemdateien Programme und Ordner anzeigen http://virus-protect.org/invisible.html « lösche: D:\Programme\Gemeinsame Dateien\CMEII(2) D:\Programme\Gemeinsame Dateien\GMT(2) « scanne mit Malwarebytes + poste den report hier http://virus-protect.org/artikel/tools/malwarebytes.html « poste ein neues Log vom HijakThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.06.2008, 08:15
Member
Themenstarter Beiträge: 13 |
#12
Guten Morgen Sabina,
das habe ich erledigt: Versteckte- und Systemdateien sichtbar machen Standardansicht in Windows Explorer anpassen, um ausgeblendete Ordner anzuzeigen. 1. Klicke unter Start auf Arbeitsplatz. 2. Klicke im Menü Extras auf Ordneroptionen. 3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen 4. Geschützte und Systemdateien ausblenden --> Haken entfernen 5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen. Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. ----------------------------------------------------------------- Deise beiden hier habe ich nicht gefunden: D:\Programme\Gemeinsame Dateien\CMEII(2) D:\Programme\Gemeinsame Dateien\GMT(2) wenn ich das eingebe bekomme ich diese Antwort: file D:\Programme\Gemeinsame Dateien\CMEII(2) wurde nicht gefunden stellen sSie sicher das der Pfad, bzw. die Internetadresse richtig ist. Hier ist das Ergebnis von Malwarebytes scan: Malwarebytes' Anti-Malware 1.17 Datenbank Version: 849 09:41:25 12.06.2008 mbam-log-6-12-2008 (09-41-25).txt Scan Art: Komplett Scan (C:\|D:\|) Objekte gescannt: 77813 Scan Dauer: 23 minute(s), 28 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\QooBox\Quarantine\C\WINDOWS\eslf.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{5FFBC05B-83E3-4695-847C-66B40E826301}\RP672\A0084292.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. Hijackthis Logfil: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:43, on 12.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE D:\Programme\AntiVir PersonalEdition Classic\sched.exe D:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Executive Software\Diskeeper\DkService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\QuickTime\qttask.exe D:\Programme\Lexmark 1200 Series\lxczbmgr.exe D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe D:\Programme\Lexmark 1200 Series\lxczbmon.exe D:\Programme\Handspring\HOTSYNC.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\DOKUME~1\MichaelP\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hjt.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.framic-music.com/42206/42201.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Lexmark 1200 Series] "D:\Programme\Lexmark 1200 Series\lxczbmgr.exe" O4 - HKCU\..\Run: [updateMgr] "D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HotSync Manager.lnk = D:\Programme\Handspring\HOTSYNC.EXE O8 - Extra context menu item: &eBay Search - res://D:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://homepage.t-online.de/app/static/activex/msxml4.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{89D6E7A0-7726-4954-AA8B-1DA5D6AB62AE}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{A3FEEE9F-431F-4760-B909-9675627EE2DC}: NameServer = 217.237.148.70 217.237.150.115 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 6656 bytes ---------------------------------------------------------------------- Hallo Sabina, habe Fertig? Gruß Stefano Dieser Beitrag wurde am 12.06.2008 um 10:52 Uhr von stefano78 editiert.
|
|
|
||
12.06.2008, 12:28
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo stefano78
1. lade otmoveIt auf D:\ http://virus-protect.org/artikel/tools/otmoveIt.html öffne: OTMoveIt.exe OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move Zitat D:\Programme\Gemeinsame Dateien\CMEIIKlicke auf den Roten MoveIt! ---------- 2. Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) ------------ 3. lade combofix neu + poste den report http://virus-protect.org/artikel/tools/combofix.html ------------------ !! kommst du inzwischen in den Texteditor ???? versuche es mal mit: Start/Ausführen den Befehl: notepad eingeben __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.06.2008, 16:32
Member
Themenstarter Beiträge: 13 |
#14
Hallo Sabia,
lade otmoveIt auf D:\ http://virus-protect.org/artikel/tools/otmoveIt.html öffne: OTMoveIt.exe OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move Zitat: D:\Programme\Gemeinsame Dateien\CMEII D:\Programme\Gemeinsame Dateien\GMT D:\Programme\Gemeinsame Dateien\CMEII(2) D:\Programme\Gemeinsame Dateien\GMT(2) Klicke auf den Roten MoveIt! ---------- Erledigt !!! 2. Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) ------------ Erledigt !!! 3. lade combofix neu + poste den report http://virus-protect.org/artikel/tools/combofix.html ------------------ Erledigt !!! Dabei ist mit die Logdatei verloren gegangen. wo finde ich die wieder? oder muss ich nochmal Cmbofix starten? !! kommst du inzwischen in den Texteditor ???? versuche es mal mit: Auf dem herkömmlichen Weg hat es nicht geklappt aber so wie unten beschrieben komme ich in den Editor! Start/Ausführen den Befehl: notepad eingeben __________ MfG Sabina [b]Gruß Stefano[/b] |
|
|
||
12.06.2008, 17:04
Moderator
Beiträge: 5694 |
||
|
||
Spyware Alert
Worm.Win32.NetBooster detected on your machine.This virus is distribute via the internet through e-mail and Active-X objects. The worm has its own SMTP engine with means it gathers e-mails from your local computer and redistibutes itself. In worst cases this worm can allow attackers to access your computer, stealing passwords and personal data. This process should be removed from your system.
Type: Virus
System Affected: Windows 200, NT, ME, XP, Vista
Security Risc (0-5): 5
Recommendations: click yes to remove it from your pc immediately
Dann geht diese Seite auf : h**p://antivirus-2008-pro.com/scanner.php?aff=OS
Ich habe diesen Antivir aber nicht selbst installiert!
Oder ein solches pop up Fenster geht auf:
Windows Security Alert
Windows has detected an Internet attack attempt…
Somebody’S trying to infect your pc with spyware or harmful viruses. Run full system scan now to protect your pc from Internet attacks, hijacking attempts and spyware! Click here to download spyware remover fot total protection
Außerdem blinkt unten rechts in der Taskleiste ein rotes X dann ein Fenster in dem steht: Außerdem steht rechts Neben der Uhr VIRUS ALERT!
System Alert
System detected virus activities. These may impact the performance of your computer. Please use recommended antispyware software to protect your system from parasite programms
Ich weiss nicht welche von diesen Meldungen vom Virus hervorgerufen wird und damit auch nicht was ich jetzt tun soll bitte helft mir
Achso wenn ich den Internet explorer öffne danngeht folgende Seite auf und diese schreibt sich auch bei den Internetoptionen als Startseite rein immer wieder auch wen ich das manuel ändere.
den CCleaner habe ich runtergeladen und ausgeführt als nächstes kümmere ich mich um die logfiles...
Nur um diesen Thread zu sichern stelle ich die bisherigen infos schon mal ein. Ich werde ständig unterbrochen und hatte sxchon 2 Mal einen blauen Bildschirm und nichts ging mehr.. Das bedeutete Neustart.
Es folgen die Logfiles von hijackthis und Combofix...
Gruß Stefano78
Hier kommt das logfile von Combofix:
ComboFix 08-06-10.3 - MichaelP 2008-06-11 13:10:54.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.91 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\MichaelP\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\MichaelP\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk
C:\Dokumente und Einstellungen\MichaelP\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\MichaelP\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\MichaelP\Favoriten\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\MichaelP\Startmenü\Programme\Antivirus 2008 PRO
C:\Dokumente und Einstellungen\MichaelP\Startmenü\Programme\Antivirus 2008 PRO\antivirus-2008pro.lnk
C:\kmd.exe
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\eslf.exe
C:\WINDOWS\kvsdpfeaake.dll
C:\WINDOWS\rtsplgob.dll
C:\WINDOWS\system32\ddcCTljj.dll
C:\WINDOWS\system32\jjlTCcdd.ini
C:\WINDOWS\system32\jjlTCcdd.ini2
C:\WINDOWS\system32\ljJCuuRK.dll
C:\WINDOWS\system32\wdgapgyx.dll
C:\WINDOWS\system32\xygpagdw.ini
D:\Programme\Antivirus 2008 PRO
D:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe
D:\Programme\Antivirus 2008 PRO\vscan.tsi
D:\Programme\Antivirus 2008 PRO\zlib.dll
.
((((((((((((((((((((((( Dateien erstellt von 2008-05-11 bis 2008-06-11 ))))))))))))))))))))))))))))))
.
2008-06-11 12:40 . 2008-06-11 12:40 <DIR> d-------- D:\Programme\CCleaner
2008-06-10 18:32 . 2008-06-10 17:30 258,048 --a------ C:\WINDOWS\xkefqtgs.dll
2008-06-10 18:32 . 2008-06-10 17:30 229,376 --a------ C:\WINDOWS\rnopbfgt.dll
2008-06-10 18:32 . 2008-06-10 17:30 81,920 --a------ C:\WINDOWS\pebgkxwq.exe
2008-06-05 19:08 . 2008-06-05 19:08 <DIR> d-------- C:\Dokumente und Einstellungen\MichaelP\temp
2008-06-05 19:08 . 2008-06-05 19:08 <DIR> d-------- C:\Dokumente und Einstellungen\MichaelP\Anwendungsdaten\TeamViewer
2008-05-17 04:24 . 2008-05-17 04:24 118 --a------ C:\WINDOWS\system32\MRT.INI
2008-05-14 17:41 . 2008-06-10 18:28 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-14 17:41 . 2008-05-14 17:41 1,409 --a------ C:\WINDOWS\QTFont.for
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-11 11:56 --------- d-----w C:\Dokumente und Einstellungen\MichaelP\Anwendungsdaten\AdobeUM
2008-04-16 08:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2004-06-27 09:40 27 ----a-w D:\Programme\stinger.opt
2004-06-27 09:26 784,903 ----a-w D:\Programme\stinger.exe
2004-04-29 00:25 1,024 ----a-w C:\Dokumente und Einstellungen\MichaelP\updata.exe
2004-03-11 11:27 40,960 ----a-w D:\Programme\Uninstall_CDS.exe
2004-06-04 20:00 2,814 --sha-w C:\WINDOWS\system32\galga.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{598CA0F7-1954-49CF-8BC2-06F4123C6709}"= "C:\WINDOWS\rtsplgob.dll" [ ]
[HKEY_CLASSES_ROOT\clsid\{598ca0f7-1954-49cf-8bc2-06f4123c6709}]
[HKEY_CLASSES_ROOT\rtsplgob.1]
[HKEY_CLASSES_ROOT\TypeLib\{C75F4608-C153-4210-8E2A-EAF191523EC2}]
[HKEY_CLASSES_ROOT\rtsplgob]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]
"swg"="D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-06 13:53 68856]
"antivirus-2008pro.exe"="D:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 03:36 262401]
"Device Detector"="C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" [ ]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" [2006-11-19 14:26 98304]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-11-17 11:33 3022848]
"Lexmark 1200 Series"="D:\Programme\Lexmark 1200 Series\lxczbmgr.exe" [2006-07-13 07:26 57344]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{03A80B1D-5C6A-42c2-9DFB-81B6005D8023}"= D:\Programme\Trend Micro\Tmas\sshook.dll [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"rnopbfgt"= {E4735E0A-6DC8-499A-AC97-9A4986F2E35C} - C:\WINDOWS\rnopbfgt.dll [2008-06-10 17:30 229376]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"D:\\Programme\\MSN Messenger\\msnmsgr.exe"=
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-16 03:36]
R0 fasttrak;fasttrak;C:\WINDOWS\system32\DRIVERS\fasttrak.sys [2002-04-23 13:42]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-16 03:36]
S3 Amps2prt;PS/2 Port Mouse Filter Driver;C:\WINDOWS\system32\Drivers\Amps2prt.sys [2001-04-04 18:54]
S3 PentaxUsb;PENTAX Optio 50L on USB;C:\WINDOWS\system32\DRIVERS\CoachUsb.sys [2004-11-24 15:34]
S3 PentaxVc;PENTAX Optio 50L Video Capture;C:\WINDOWS\system32\DRIVERS\CoachVc.sys [2004-11-24 15:36]
S3 StMp3Rec;Treiber für Player-Wiederherstellungsgerät;C:\WINDOWS\system32\Drivers\StMp3Rec.sys [2007-02-15 14:14]
S3 VisorUsb;Handspring USB;C:\WINDOWS\system32\DRIVERS\VisorUsb.sys [2001-03-01 15:07]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6ab1522-dfde-11d9-80a1-806d6172696f}]
\Shell\AutoRun\command - F:\AutoRun\Demo.exe
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{646C9593-5DEB-4A37-628A-5D1F833F9FEA}]
C:\WINDOWS\system32\sv\sv.exe s
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7A8BCF3C-ADEB-B39D-3AD9-EE7208710DA7}]
C:\WINDOWS\system32\sv\server.exe s
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-11 13:15:58
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
D:\Programme\Ahead\InCD\incdsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Lexmark 1200 Series\lxczbmon.exe
D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Programme\Handspring\HOTSYNC.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-11 13:20:26 - machine was rebooted [MichaelP]
ComboFix-quarantined-files.txt 2008-06-11 11:20:21
ComboFix2.txt 2007-07-25 14:35:44
ComboFix3.txt 2007-07-25 08:41:47
14 Verzeichnis(se), 624,320,512 Bytes frei
16 Verzeichnis(se), 591,077,376 Bytes frei
135 --- E O F --- 2008-05-17 02:24:56
3a. Erstellen eines Hijackjthis-Logfiles:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:56: VIRUS ALERT!, on 11.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Lexmark 1200 Series\lxczbmgr.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Programme\Lexmark 1200 Series\lxczbmon.exe
D:\Programme\Handspring\HOTSYNC.EXE
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\DOKUME~1\MichaelP\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hjt.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: rtsplgob - {598CA0F7-1954-49CF-8BC2-06F4123C6709} - C:\WINDOWS\rtsplgob.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Lexmark 1200 Series] "D:\Programme\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [f8b0e742] rundll32.exe "C:\WINDOWS\system32\wdgapgyx.dll",b
O4 - HKCU\..\Run: [updateMgr] "D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotSync Manager.lnk = D:\Programme\Handspring\HOTSYNC.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &eBay Search - res://D:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://homepage.t-online.de/app/static/activex/msxml4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89D6E7A0-7726-4954-AA8B-1DA5D6AB62AE}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3FEEE9F-431F-4760-B909-9675627EE2DC}: NameServer = 217.237.148.70 217.237.150.115
O21 - SSODL: rnopbfgt - {E4735E0A-6DC8-499A-AC97-9A4986F2E35C} - C:\WINDOWS\rnopbfgt.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
3b.
Erstellen einer Uninstall Liste
Ad-aware 6 Personal
Adobe Flash Player 9 ActiveX
Adobe Reader 7.0.9
Adobe Shockwave Player
Audacity 1.2.0
Avira AntiVir Personal – Free Antivirus
CCleaner (remove only)
CDex extraction audio
C-Media WDM Audio Driver
Diskeeper Professional Edition
DVD Solution
FaxTools
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
HijackThis 2.0.2
InCD
IrfanView (remove only)
Kazaa Lite 2.6.1
Lexmark 1200 Series
Lexmark Z600 Series
Logitech MouseWare 9.79.1
Microsoft Data Access Components KB870669
Microsoft Office Professional Edition 2003
Microsoft Windows-Journal-Viewer
MSXML 4.0 SP2 (KB936181)
Nero - Burning Rom
Nero OEM
PowerDVD
PowerProducer
QuickTime
ToolbarSetup
Winamp (remove only)
Windows Genuine Advantage v1.3.0254.0
Windows Installer 3.1 (KB893803)
Windows Installer 3.1 (KB893803)
Windows Live Messenger
Windows Live Sign-in Assistant
4.
Lofiles datfind.bat:
Datenträger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED
Verzeichnis von C:\WINDOWS\system32
11.06.2008 12:24 2.206 wpa.dbl
11.06.2008 10:53 19 clkcnt.txt
31.05.2008 12:11 40.836 perfc009.dat
31.05.2008 12:11 314.508 perfh009.dat
31.05.2008 12:11 320.094 perfh007.dat
31.05.2008 12:11 49.174 perfc007.dat
31.05.2008 12:11 732.342 PerfStringBackup.INI
17.05.2008 04:24 118 MRT.INI
09.05.2008 23:35 16.863.864 MRT.exe
11.04.2008 10:19 189.792 FNTCACHE.DAT
25.03.2008 06:51 187.168 msjint40.dll
25.03.2008 06:51 621.344 mswstr10.dll
25.03.2008 06:50 355.104 msxbde40.dll
25.03.2008 06:50 838.432 mswdat10.dll
25.03.2008 06:50 264.992 mstext40.dll
25.03.2008 06:50 559.904 msrepl40.dll
25.03.2008 06:50 322.336 msrd3x40.dll
25.03.2008 06:50 432.928 msrd2x40.dll
25.03.2008 06:50 355.104 mspbde40.dll
25.03.2008 06:50 219.936 msltus40.dll
25.03.2008 06:50 60.192 msjter40.dll
25.03.2008 06:50 248.608 msjtes40.dll
25.03.2008 06:50 355.112 msjetoledb40.dll
25.03.2008 06:50 1.516.568 msjet40.dll
25.03.2008 06:50 326.432 msexcl40.dll
25.03.2008 06:50 518.944 msexch40.dll
20.03.2008 10:03 1.845.376 win32k.sys
20.02.2008 08:50 282.624 gdi32.dll
20.02.2008 07:33 45.568 dnsrslvr.dll
20.02.2008 07:33 148.992 dnsapi.dll
05.02.2008 16:53 2.550 Uninstall.ico
05.02.2008 16:53 1.406 Help.ico
05.02.2008 16:53 30.590 pavas.ico
Hoffentlich kann mir jemand helfen?
Gruß Stefano78
--
End of file - 6238 bytes