Malware ueber MSN-Messenger -->messenger.exe (AdWare.WinA

von **pippo36** am 18.04.2005, 14:41

Hallo Leute

Ich habe ein zimlich grosses Problem. Gestern habe ich einen Blödsinn geöffnet. Ein Link, der per MSN reingekommen ist. Und dann ging alles ganz schnell, es verbreitete sich an alle Personen, die online waren. Ich habe sofort gemerkt, dass was nicht stimmt und den PC abgeschalten. Nachdem ich ihn wieder gestartet hatte, ging ich in mein Profil rein. (Wir haben bei uns zu Hause mehrere Profile!) Es kam die Fehlermeldung "Windows hat einen schwerwiegenden Fehler!" und dann startet der Computer automatisch wieder neu. Ich habe mich in einem anderen Profil eingeloggt und dort dann das Ad-Aware und HiJackThis laufen lassen. Das Problem ist jetzt einfach, dass jedes mal diese Fehlermeldung kommt! (In allen Profilen!) Beachtet man diese allerdings nicht, kann man "normal" surfen, E-Mails senden, etc. Ich hoffe ich könnt mir helfen! Hier noch mein HiJackThis-Logfile:

Jetzt merke ich gerade, dass ich das HJT gar nicht öffnen kann... :S Helft mir bitte!!!!

von **pippo36** am 18.04.2005, 18:57

#edit

Das HJT kann ich nicht öffnen, weil eine Fehlermeldung kommt: HJT hat einen schweren Fehler... Hiiiilfe....

von **pippo36** am 18.04.2005, 19:03

Noch was, dass helfen könnte...

Problemsignatur:

BCCode : a BCP1 : FFFFFF94 BCP2 : 00000002 BCP3 : 00000000 BCP4 : 80520182 OSVer : 5_1_2600 SP : 0_0 Product : 256_1

von **Nikita** am 18.04.2005, 20:04

Hallo@pippo36

silentrunners
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.

How can I try F-Secure BlackLight Rootkit Elimination Technology?
A free beta version of F-Secure BlackLight is available for download. The beta is fully featured and works until April 30th 2005.
http://www.f-secure.com/blacklight/cure.shtml

Graphical user interface version:
(Recommended for most users)
lade: fsbl.exe
Command line version:
Lade:fsblc.exe

suche dann das log vom Scann-->poste es

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten

von **pippo36** am 19.04.2005, 12:54

Log vom mwav.txt:

Sun Feb 27 19:31:48 2005 => File C:\WINDOWS\system32\actboost32.exe infected by "Backdoor.Win32.Rbot.cj" Virus. Action Taken: No Action Taken.

Sun Feb 27 19:32:04 2005 => File C:\WINDOWS\messenger.exe infected by "not-a-virus:AdWare.WinAD.z" Virus. Action Taken: No Action Taken.

Sun Feb 27 19:32:11 2005 => File C:\WINDOWS\test.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

Sun Feb 27 19:32:12 2005 => File C:\WINDOWS\Vornamen-Fundus[vnf-10032,de,1].exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:04:40 2005 => File C:\Dokumente und Einstellungen\Claudine\Anwendungsdaten\first ooze test\anti4supportpeak.exe infected by "not-a-virus:AdWare.Lop.l" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:04:41 2005 => File C:\Dokumente und Einstellungen\Claudine\Anwendungsdaten\first ooze test\eyivnwvw.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:04:42 2005 => File C:\Dokumente und Einstellungen\Claudine\Anwendungsdaten\first ooze test\Great About.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:04:42 2005 => File C:\Dokumente und Einstellungen\Claudine\Anwendungsdaten\first ooze test\Keepblahdumb.exe infected by "Trojan-Downloader.Win32.Swizzor.bm" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:04:58 2005 => File C:\Dokumente und Einstellungen\Claudine\Desktop\backups\backup-20041015-145143-873.dll infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:02 2005 => File C:\Dokumente und Einstellungen\Claudine\Desktop\backups\backup-20050220-204216-404.dll infected by "not-a-virus:AdWare.ToolBar.SideFind" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:36 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\2a26855f.exe infected by "Trojan-Downloader.Win32.Swizzor.bn" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:37 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\2a2e7ceb.exe infected by "Trojan-Downloader.Win32.Swizzor.bn" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:38 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\avymdxww.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:38 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\axonuyhh.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:39 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\blvrvfkn.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:40 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\dcboxkao.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:41 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\djnxckoc.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:42 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\errqjmtu.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:42 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\fgdrunsl.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:43 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\fxvcunpv.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:44 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\fzbjklfv.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:44 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\gcmjccrl.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:47 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\jkuugpjl.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:47 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\kkssywmq.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:48 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\lbdzozjj.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:48 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\lhelmceq.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:49 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\lsfjvwky.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:49 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\mizllobg.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:51 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\oykbfhtt.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:51 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\pxnnodcf.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:52 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\qlpoggkm.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:52 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\rmdwmvok.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:53 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\rrorrbqk.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:54 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\sdqybrxt.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:54 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\smaaitmk.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:54 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\sta3.exe infected by "Trojan-Downloader.Win32.Swizzor.bi" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:55 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\sta3B.exe infected by "Trojan-Downloader.Win32.Swizzor.bi" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:55 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\sta4.exe infected by "Trojan-Downloader.Win32.Swizzor.bi" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:56 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\sta7.exe infected by "Trojan-Downloader.Win32.Swizzor.aw" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:57 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\staB2.exe infected by "Trojan-Downloader.Win32.Swizzor.bi" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:05:58 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\tcgflddp.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:06:17 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\backups\backup-20040726-215351-989.dll infected by "Trojan-Downloader.Win32.Swizzor.bg" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:06:19 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_198.zip\backups\backup-20040821-075438-902.dll infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:06:20 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_198.zip\backups\backup-20040905-171918-172.dll infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:06:25 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\tnbqsmfr.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:06:25 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\ucpjxdrp.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:06:26 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\uvffdqxc.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:06:27 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\vpkjhvct.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:06:27 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\vyduiqao.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:06:28 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\vyvkctim.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:06:28 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\waagcglf.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:06:30 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\wpjlxrzd.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:06:30 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\wzhrjjfm.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:06:31 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\xqwaizpn.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 20:06:31 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\ypbsyaoq.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken

Sun Feb 27 20:06:32 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\ypgjxsxo.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Sun Feb 27 21:10:11 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FV17RT4W\vornamen[vnf-10032,de][1].exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.

Sun Feb 27 23:15:34 2005 => File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XQLENY5\powerscan[1].exe infected by "not-a-virus:AdWare.PowerScan.d" Virus. Action Taken: No Action Taken.

Sun Feb 27 23:15:34 2005 => File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XQLENY5\sidefind[1].exe infected by "Trojan-Downloader.Win32.IstBar.eo" Virus. Action Taken: No Action Taken.

Sun Feb 27 23:15:35 2005 => File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4TANG9M7\istbar_mainstream[1].dll infected by "Trojan-Downloader.Win32.IstBar.hf" Virus. Action Taken: No Action Taken.

Sun Feb 27 23:15:35 2005 => File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4TANG9M7\istrecover[1].exe infected by "Trojan-Downloader.Win32.IstBar.hh" Virus. Action Taken: No Action Taken.

Sun Feb 27 23:15:35 2005 => File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4TANG9M7\sidefind13[1].dll infected by "not-a-virus:AdWare.ToolBar.SideFind" Virus. Action Taken: No Action Taken.

Sun Feb 27 23:15:36 2005 => File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GXYVGHIJ\istsvc[1].exe infected by "Trojan-Downloader.Win32.IstBar.he" Virus. Action Taken: No Action Taken.

Sun Feb 27 23:15:36 2005 => File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GXYVGHIJ\sfbho13[1].dll infected by "not-a-virus:AdWare.ToolBar.SideFind" Virus. Action Taken: No Action Taken.

Sun Feb 27 23:15:36 2005 => File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9AVC127\istdownload[1].exe infected by "Trojan-Downloader.Win32.IstBar.hi" Virus. Action Taken: No Action Taken.

Sun Feb 27 23:15:37 2005 => File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9AVC127\webrebates_europe[1].exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:16:50 2005 => File C:\WINDOWS\system32\actboost32.exe infected by "Backdoor.Win32.Rbot.cj" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:17:07 2005 => File C:\WINDOWS\messenger.exe infected by "not-a-virus:AdWare.WinAD.z" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:17:13 2005 => File C:\WINDOWS\test.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:17:14 2005 => File C:\WINDOWS\Vornamen-Fundus[vnf-10032,de,1].exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:51:20 2005 => File C:\Dokumente und Einstellungen\Claudine\Anwendungsdaten\first ooze test\anti4supportpeak.exe infected by "not-a-virus:AdWare.Lop.l" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:51:21 2005 => File C:\Dokumente und Einstellungen\Claudine\Anwendungsdaten\first ooze test\eyivnwvw.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:51:21 2005 => File C:\Dokumente und Einstellungen\Claudine\Anwendungsdaten\first ooze test\Great About.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:51:21 2005 => File C:\Dokumente und Einstellungen\Claudine\Anwendungsdaten\first ooze test\Keepblahdumb.exe infected by "Trojan-Downloader.Win32.Swizzor.bm" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:51:38 2005 => File C:\Dokumente und Einstellungen\Claudine\Desktop\backups\backup-20041015-145143-873.dll infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:51:40 2005 => File C:\Dokumente und Einstellungen\Claudine\Desktop\backups\backup-20050220-204216-404.dll infected by "not-a-virus:AdWare.ToolBar.SideFind" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:15 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\2a26855f.exe infected by "Trojan-Downloader.Win32.Swizzor.bn" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:15 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\2a2e7ceb.exe infected by "Trojan-Downloader.Win32.Swizzor.bn" Virus. Action Taken: No Action Taken.

Einstellungen\Temp\avymdxww.exe
Mon Feb 28 07:52:16 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\avymdxww.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:17 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\axonuyhh.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:18 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\blvrvfkn.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:19 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\dcboxkao.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:20 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\djnxckoc.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:21 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\errqjmtu.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:21 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\fgdrunsl.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:22 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\fxvcunpv.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:23 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\fzbjklfv.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:23 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\gcmjccrl.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:26 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\jkuugpjl.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:26 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\kkssywmq.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:27 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\lbdzozjj.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:27 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\lhelmceq.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:28 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\lsfjvwky.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:28 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\mizllobg.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:30 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\oykbfhtt.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:30 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\pxnnodcf.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:31 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\qlpoggkm.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:31 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\rmdwmvok.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:32 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\rrorrbqk.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:32 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\sdqybrxt.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:33 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\smaaitmk.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:33 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\sta3.exe infected by "Trojan-Downloader.Win32.Swizzor.bi" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:34 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\sta3B.exe infected by "Trojan-Downloader.Win32.Swizzor.bi" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:34 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\sta4.exe infected by "Trojan-Downloader.Win32.Swizzor.bi" Virus. Action Taken: No Action Taken.

Mon Feb 28 07:52:35 2005 => File C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\sta7.exe infected by "Trojan-Downloader.Win32.Swizzor.aw" Virus. Action Taken: No Action Taken.

Das wäre einmal der 1. Teil... Hier unten noch die weiteren Logs:

04/18/05 21:09:09 [Info]: F-Secure BlackLight Beta 1.3.1015 started --------------------------------------------
04/18/05 21:09:09 [Info]: OS version: 5.1 build 2600 ()
04/18/05 21:09:25 [Info]: User initiated system scan
04/18/05 21:09:25 [Info]: Process scan started
04/18/05 21:09:25 [Hidden process]: C:\WINDOWS\System32\system.exe
04/18/05 21:09:25 [Info]: Process scan done
04/18/05 21:09:25 [Info]: Filesystem scan started
04/18/05 21:09:25 [Info]: Filesystem scan engine version: 1.7 (build 1006)
04/18/05 21:09:25 [Note]: Running normal mode scan
04/18/05 21:10:18 [Info]: Filesystem scan stopped by user
04/18/05 21:10:20 [Info]: User initiated system scan
04/18/05 21:10:20 [Info]: Process scan started
04/18/05 21:10:20 [Hidden process]: C:\WINDOWS\System32\system.exe
04/18/05 21:10:20 [Info]: Process scan done
04/18/05 21:10:20 [Info]: Filesystem scan started
04/18/05 21:10:20 [Info]: Filesystem scan engine version: 1.7 (build 1006)
04/18/05 21:10:20 [Note]: Running normal mode scan
04/18/05 21:11:39 [Info]: Filesystem scan completed
04/18/05 21:12:02 [Info]: F-Secure BlackLight Beta 1.3.1015 stopped --------------------------------------------

------------------------------------------------------------------------------

"Silent Runners.vbs", revision 35, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Windows" = "system.exe" [null data]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"msnmsgr" = ""C:\Programme\MSN Messenger\msnmsgr.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Windows" = "system.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{A8DD28BB-9430-47e4-972D-08A47C788D56}" = "MyPen Pro"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\C-CHANNEL\MyPen Pro\MyPenPro.exe" ["C Technologies AB (publ)"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Enabled Wallpaper and Active Desktop:
-------------------------------------

Active Desktop is disabled.

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Thierry\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Enabled Scheduled Tasks:
------------------------

"A41F4EF391B0C73B" -> launches: "c:\dokume~1\claudine\anwend~1\firsto~1\Keepblahdumb.exe" [file not found]
"A606AA74918523D0" -> launches: "c:\progra~1\firsto~1\Keepblahdumb.exe" [file not found]
"AFB70F2591E083B5" -> launches: "c:\dokume~1\estelle\anwend~1\firsto~1\Keepblahdumb.exe" [file not found]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]

----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------

von **Nikita** am 19.04.2005, 15:58

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\actboost32.exe
C:\WINDOWS\messenger.exe
C:\WINDOWS\test.exe
C:\WINDOWS\system32\system.exe

C:\WINDOWS\Vornamen-Fundus[vnf-10032,de,1].exe
C:\Dokumente und Einstellungen\Claudine\Anwendungsdaten\first ooze test\anti4supportpeak.exe
C:\Dokumente und Einstellungen\Claudine\Anwendungsdaten\first ooze test\eyivnwvw.exe
C:\Dokumente und Einstellungen\Claudine\Anwendungsdaten\first ooze test\Great About.exe
C:\Dokumente und Einstellungen\Claudine\Anwendungsdaten\first ooze test\Keepblahdumb.exe

C:\Dokumente und Einstellungen\Claudine\Desktop\backups\backup-20041015-145143-873.dll
C:\Dokumente und Einstellungen\Claudine\Desktop\backups\backup-20050220-204216-404.dll

C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\2a26855f.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\2a2e7ceb.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\avymdxww.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\axonuyhh.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\blvrvfkn.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\dcboxkao.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\djnxckoc.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\errqjmtu.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\fgdrunsl.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\fxvcunpv.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\fzbjklfv.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\gcmjccrl.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\jkuugpjl.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\kkssywmq.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\lbdzozjj.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\lhelmceq.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\lsfjvwky.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\mizllobg.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\oykbfhtt.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\pxnnodcf.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\qlpoggkm.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\rmdwmvok.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\rrorrbqk.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\sdqybrxt.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\smaaitmk.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\sta3.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\sta3B.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\sta4.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\sta7.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\staB2.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\tcgflddp.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\tnbqsmfr.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\ucpjxdrp.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\uvffdqxc.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\vpkjhvct.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\vyduiqao.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\vyvkctim.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\waagcglf.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\wpjlxrzd.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\wzhrjjfm.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\xqwaizpn.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\ypbsyaoq.exe
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\ypgjxsxo.exe

C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FV17RT4W\vornamen[vnf-10032,de][1].exe
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XQLENY5\powerscan[1].exe
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XQLENY5\sidefind[1].exe
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4TANG9M7\istbar_mainstream[1].dll
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4TANG9M7\istrecover[1].exe
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4TANG9M7\sidefind13[1].dll
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GXYVGHIJ\istsvc[1].exe
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GXYVGHIJ\sfbho13[1].dll
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9AVC127\istdownload[1].exe
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9AVC127\webrebates_europe[1].exe

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

<PC neustarten

C:\Dokumente und Einstellungen\Claudine\Anwendungsdaten\first ooze test\<--loeschen

ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- index.dat

ueberpruefen, ob alles geloescht ist:
C:\Dokumente und Einstellungen\Claudine\Lokale Einstellungen\Temp\

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\

Download the beta* of our new anti-spyware software today
http://www.microsoft.com/athome/securit ... fault.mspx

•Online-Scann (Panda)--> berichte vom SCann
http://www.pandasoftware.com/activescan ... ncipal.htm

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

von **pippo36** am 20.04.2005, 18:03

Hier nochmal mein Log vom Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 17:59:51, on 20.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\dwwin.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Thierry\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Windows] system.exe
O4 - HKLM\..\RunServices: [Windows] system.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Windows] system.exe
O4 - HKCU\..\RunServices: [Windows] system.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Und der Log vom Ad-Aware:

d-Aware SE Build 1.05
Logfile Created on:Mittwoch, 20. April 2005 16:21:08
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R39 15.04.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):25 total references
Tracking Cookie(TAC index:3):28 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects

20.04.2005 16:21:08 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\Thierry\recent
Description : list of recently opened documents

MRU List Object Recognized!
Location: : S-1-5-21-1645522239-789336058-1202660629-1005\software\microsoft\search assistant\acmru
Description : list of recent search terms used with the search assistant

MRU List Object Recognized!
Location: : S-1-5-21-1645522239-789336058-1202660629-1005\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension

MRU List Object Recognized!
Location: : S-1-5-21-1645522239-789336058-1202660629-1005\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened

MRU List Object Recognized!
Location: : S-1-5-21-1645522239-789336058-1202660629-1005\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened

MRU List Object Recognized!
Location: : S-1-5-21-1645522239-789336058-1202660629-1005\software\microsoft\office\10.0\excel\recent files
Description : list of recent files used by microsoft excel

MRU List Object Recognized!
Location: : S-1-5-21-1645522239-789336058-1202660629-1005\software\microsoft\internet explorer\main
Description : last save directory used in microsoft internet explorer

MRU List Object Recognized!
Location: : S-1-5-21-1645522239-789336058-1202660629-1005\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer

MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw

MRU List Object Recognized!
Location: : S-1-5-21-1645522239-789336058-1202660629-1005\software\microsoft\microsoft management console\recent file list
Description : list of recent snap-ins used in the microsoft management console

MRU List Object Recognized!
Location: : S-1-5-21-1645522239-789336058-1202660629-1005\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer

MRU List Object Recognized!
Location: : S-1-5-21-1645522239-789336058-1202660629-1005\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput

MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d

MRU List Object Recognized!
Location: : S-1-5-21-1645522239-789336058-1202660629-1005\software\microsoft\frontpage\explorer\frontpage explorer\recent web list
Description : list of recently used webs in microsoft frontpage

MRU List Object Recognized!
Location: : S-1-5-21-1645522239-789336058-1202660629-1005\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput

MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player

MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player

MRU List Object Recognized!
Location: : S-1-5-19\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player

MRU List Object Recognized!
Location: : S-1-5-20\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player

MRU List Object Recognized!
Location: : S-1-5-21-1645522239-789336058-1202660629-1005\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player

MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X

MRU List Object Recognized!
Location: : S-1-5-21-1645522239-789336058-1202660629-1005\software\winrar\dialogedithistory\extrpath
Description : winrar "extract-to" history

MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general
Description : windows media sdk

MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general
Description : windows media sdk

MRU List Object Recognized!
Location: : S-1-5-21-1645522239-789336058-1202660629-1005\software\microsoft\windows media\wmsdk\general
Description : windows media sdk

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 416
ThreadCreationTime : 20.04.2005 08:55:33
BasePriority : Normal

#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 472
ThreadCreationTime : 20.04.2005 08:55:36
BasePriority : Normal

#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 496
ThreadCreationTime : 20.04.2005 08:55:36
BasePriority : High

#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 540
ThreadCreationTime : 20.04.2005 08:55:36
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 552
ThreadCreationTime : 20.04.2005 08:55:36
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 716
ThreadCreationTime : 20.04.2005 08:55:37
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 788
ThreadCreationTime : 20.04.2005 08:55:38
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 860
ThreadCreationTime : 20.04.2005 08:55:39
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 884
ThreadCreationTime : 20.04.2005 08:55:39
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1068
ThreadCreationTime : 20.04.2005 08:55:40
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:11 [mdm.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\
ProcessID : 1256
ThreadCreationTime : 20.04.2005 08:55:46
BasePriority : Normal
FileVersion : 7.00.9064.9150
ProductVersion : 7.00.9064.9150
ProductName : Microsoft Development Environment
CompanyName : Microsoft Corporation
FileDescription : Machine Debug Manager
InternalName : mdm.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1997-2000
OriginalFilename : mdm.exe

#:12 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1296
ThreadCreationTime : 20.04.2005 08:55:46
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:13 [wdfmgr.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1348
ThreadCreationTime : 20.04.2005 08:55:46
BasePriority : Normal
FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act)
ProductVersion : 5.2.3790.1230
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows User Mode Driver Manager
InternalName : WdfMgr
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : WdfMgr.exe

#:14 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1372
ThreadCreationTime : 20.04.2005 14:20:02
BasePriority : Normal
FileVersion : 6.00.2600.0000 (xpclient.010817-1148)
ProductVersion : 6.00.2600.0000
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:15 [gcasserv.exe]
FilePath : C:\Programme\Microsoft AntiSpyware\
ProcessID : 320
ThreadCreationTime : 20.04.2005 14:20:05
BasePriority : Idle
FileVersion : 1.00.0509
ProductVersion : 1.00.0509
ProductName : Microsoft AntiSpyware (Beta 1)
CompanyName : Microsoft Corporation
FileDescription : Microsoft AntiSpyware Service
InternalName : gcasServ
LegalCopyright : Copyright © 2004-2005 Microsoft Corporation. All rights reserved.
LegalTrademarks : Microsoft® and Windows® are registered trademarks of Microsoft Corporation. SpyNet(tm) is a trademark of Microsoft Corporation.
OriginalFilename : gcasServ.exe

#:16 [dumprep.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 172
ThreadCreationTime : 20.04.2005 14:20:05
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows Error Reporting Dump Reporting Tool
InternalName : DUMPREP.EXE
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : DUMPREP.EXE

#:17 [msmsgs.exe]
FilePath : C:\Programme\Messenger\
ProcessID : 1672
ThreadCreationTime : 20.04.2005 14:20:05
BasePriority : Normal
FileVersion : 4.7.2010
ProductVersion : Version 4.7
ProductName : Messenger
CompanyName : Microsoft Corporation
FileDescription : Messenger
InternalName : msmsgs
LegalCopyright : Copyright (c) Microsoft Corporation 1997-2003
LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
OriginalFilename : msmsgs.exe

#:18 [msnmsgr.exe]
FilePath : C:\Programme\MSN Messenger\
ProcessID : 1112
ThreadCreationTime : 20.04.2005 14:20:05
BasePriority : Normal
FileVersion : 7.0.0777
ProductVersion : 7.0.0777
ProductName : MSN Messenger
CompanyName : Microsoft Corporation
FileDescription : MSN Messenger
InternalName : msnmsgr
LegalCopyright : Copyright (c) Microsoft Corporation 1997-2004
LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
OriginalFilename : msnmsgr.exe

#:19 [dwwin.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 268
ThreadCreationTime : 20.04.2005 14:20:07
BasePriority : Normal

#:20 [gcasdtserv.exe]
FilePath : C:\Programme\Microsoft AntiSpyware\
ProcessID : 1488
ThreadCreationTime : 20.04.2005 14:20:08
BasePriority : Normal
FileVersion : 1.00.0509
ProductVersion : 1.00.0509
ProductName : Microsoft AntiSpyware (Beta 1)
CompanyName : Microsoft Corporation
FileDescription : Microsoft AntiSpyware Data Service
InternalName : gcasDtServ
LegalCopyright : Copyright © 2004-2005 Microsoft Corporation. All rights reserved.
LegalTrademarks : Microsoft® and Windows® are registered trademarks of Microsoft Corporation. SpyNet(tm) is a trademark of Microsoft Corporation.
OriginalFilename : gcasDtServ.exe

#:21 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 260
ThreadCreationTime : 20.04.2005 14:20:55
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 25

Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 25

Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 25

Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : thierry@estat[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:thierry@estat.com/
Expires : 17.04.2015 22:56:42
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : thierry@adtech[2].txt
Category : Data Miner
Comment : Hits:2
Value : Cookie:thierry@adtech.de/
Expires : 17.04.2015 23:27:06
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : thierry@doubleclick[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:thierry@doubleclick.net/
Expires : 20.04.2005 16:37:28
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 3
Objects found so far: 28

Deep scanning and examining files (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : claudine@adtech[2].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Claudine\Cookies\claudine@adtech[2].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : claudine@as-eu.falkag[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Claudine\Cookies\claudine@as-eu.falkag[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : claudine@cgi-bin[2].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Claudine\Cookies\claudine@cgi-bin[2].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : claudine@doubleclick[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Claudine\Cookies\claudine@doubleclick[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : claudine@ehg-edipresse.hitbox[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Claudine\Cookies\claudine@ehg-edipresse.hitbox[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : claudine@hitbox[2].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Claudine\Cookies\claudine@hitbox[2].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : claudine@linksynergy[2].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Claudine\Cookies\claudine@linksynergy[2].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : claudine@mediaplex[2].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Claudine\Cookies\claudine@mediaplex[2].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : claudine@sel.as-eu.falkag[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Claudine\Cookies\claudine@sel.as-eu.falkag[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : claudine@tradedoubler[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Claudine\Cookies\claudine@tradedoubler[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : claudine@webadvertising[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Claudine\Cookies\claudine@webadvertising[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : didier@advertising[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Didier\Cookies\didier@advertising[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : didier@atdmt[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Didier\Cookies\didier@atdmt[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : didier@doubleclick[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Didier\Cookies\didier@doubleclick[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : didier@ehg-idg.hitbox[2].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Didier\Cookies\didier@ehg-idg.hitbox[2].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : didier@hitbox[2].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Didier\Cookies\didier@hitbox[2].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : didier@servedby.advertising[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Didier\Cookies\didier@servedby.advertising[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : didier@tribalfusion[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Didier\Cookies\didier@tribalfusion[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : estelle@adtech[2].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Estelle\Cookies\estelle@adtech[2].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : estelle@ayb.lop[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Estelle\Cookies\estelle@ayb.lop[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : estelle@bluestreak[2].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Estelle\Cookies\estelle@bluestreak[2].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : estelle@doubleclick[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Estelle\Cookies\estelle@doubleclick[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : estelle@estat[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Estelle\Cookies\estelle@estat[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : estelle@lop[1].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Estelle\Cookies\estelle@lop[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : estelle@revenue[2].txt
Category : Data Miner
Comment :
Value : C:\Dokumente und Einstellungen\Estelle\Cookies\estelle@revenue[2].txt

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 53

Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 53

Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 53

17:57:45 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:01:36:36.865
Objects scanned:599162
Objects identified:28
Objects ignored:0
New critical objects:28

Ich danke Dir/Euch schon im Voraus für Deine/Eure Hilfe!!! :-)

von **Nikita** am 21.04.2005, 11:17

Start-->Ausfuehren-->regedit

ueberpruefe, ob du siesen Eintrag in der registry findest:

HKEY_CURRENT_USER/Software/DateTime

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Windows] system.exe
O4 - HKLM\..\RunServices: [Windows] system.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Windows] system.exe
O4 - HKCU\..\RunServices: [Windows] system.exe

neustarten

dwwin.exe <---mit rechtsklick anklicken-->Eigenschaften, Groesse, Erstellungsdatum-->bitte posten
system.exe
FilePath : C:\WINDOWS\System32\

irun4.exe<--suchen, poste ob du es findest

A free beta version of F-Secure BlackLight is available for download. The beta is fully featured and works until April 30th 2005.
http://www.f-secure.com/blacklight/cure.shtml

Graphical user interface version:
(Recommended for most users)
lade: fsbl.exe
Command line version:
Lade:fsblc.exe

suche und poste das Log vom SCann

Lade die Personal-Version-->gehe in den abgesicherten Modus und scanne (F8 druecken, wenn der PC hochfaehrt und abgesicherter Modus waehlen)
http://www.kaspersky.com/trials

http://nikita.eddys-domain.de/onlinescan.html
mache alle onlinescanns, die moeglich sind und berichte von jedem .

von **pippo36** am 21.04.2005, 11:50

HKEY_CURRENT_USER/Software/DataTime gibt nichts!!!

-----------------------------------------------------------------------------------

dwwin.exe

Grösse: 158 KB (162'128 Bytes)
Erstellungsdatum: Donnerstag, 23. August 2001, 14:00:00

------------------------------------------------------------------------------------

irun4.exe konnte ich nicht finden!!!

------------------------------------------------------------------------------------

fsbl.exe:

04/21/05 11:25:42 [Info]: F-Secure BlackLight Beta 1.3.1015 started --------------------------------------------
04/21/05 11:25:42 [Info]: OS version: 5.1 build 2600 ()
04/21/05 11:25:50 [Info]: User initiated system scan
04/21/05 11:25:50 [Info]: Process scan started
04/21/05 11:25:51 [Info]: Process scan done
04/21/05 11:25:51 [Info]: Filesystem scan started
04/21/05 11:25:51 [Info]: Filesystem scan engine version: 1.7 (build 1006)
04/21/05 11:25:51 [Note]: Running normal mode scan
04/21/05 11:27:54 [Info]: Filesystem scan completed
04/21/05 11:28:47 [Info]: F-Secure BlackLight Beta 1.3.1015 stopped --------------------------------------------

-----------------------------------------------------------------------------------

Ich gehe jetzt in den abgesicherten Modus, der Rest poste ich gleich danach!!

von **pippo36** am 22.04.2005, 13:22

Logfile of HijackThis v1.99.1
Scan saved at 13:21:36, on 22.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Didier\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
O4 - HKLM\..\Run: [KASP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\OESpamTest.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Hier mein neuster HiJackThis Log... Die Logs von deinen Virenprogrammen (online-scan) folgen...

von **Nikita** am 22.04.2005, 13:46

dann mach aber auch gleich die Windowsupdates (lade SP2)

Malware ueber MSN-Messenger -->messenger.exe (AdWare.WinA

Malware ueber MSN-Messenger -->messenger.exe (AdWare.WinA

Wer ist online?