A.7. Virus
11 Beiträge • Seite 1 von 1
A.7. Virus
von knulle0815 am 17.09.2005, 16:10
Hallo! Kann auch mir jemand helfen....
Habe mir beim update vom AntiVir Programm dieses verflixte A.7. Virus eingefangen....Habe die Datein in das Quarantäneverzeichnis von AntiVir verschoben.
Ins Internet konnte ich danach wieder mühelos rein.
Hier sind meine logfile....
vielleicht gibt es da was zu sehen??
Logfile of HijackThis v1.99.1
Scan saved at 13:19:50, on 17.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOINTGR.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Dell Photo AIO Printer 962\dlbxmon.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Plaxo\2.1.0.80\InstallStub.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Gadu-Gadu\gg.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dlbxcoms.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.2.1./de/Setup.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.businessonline.t-online.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.businessonline.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von BusinessOnline
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll (file missing)
O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\2.bin\IMESHBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {FD7B5CB1-8DF0-47E6-AA07-41F1F85A1681} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\2.bin\IMESHBAR.DLL
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [USB] C:\WINDOWS\system32\usb.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\BusinessOnline\BOLog.exe"
O4 - HKLM\..\Run: [WeatherOnTray] C:\Programme\Hotbar\bin\4.5.3.0\WeatherOnTray.exe
O4 - HKLM\..\Run: [dlbxmon.exe] "C:\Programme\Dell Photo AIO Printer 962\dlbxmon.exe"
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programme\Plaxo\2.1.0.80\InstallStub.exe -a
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Startup: Registration-Studio 8 SE.lnk = C:\Programme\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: TREND MICRO HouseCall - {2B5EA4F8-620A-4A8B-B003-4C8C5EBEA826} - http://uk.trendmicro-europe.com/enterpr ... ll_pre.php (file missing)
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.businessonline.t-online.de
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/games/c ... 21t0_x.cab
O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/games/c ... mat3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/c ... potb_x.cab
O16 - DPF: Yahoo! Sheepshead - http://download.games.yahoo.com/games/c ... /dt0_x.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P ... _EN_XP.cab
O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - https://www.plaxo.com/down/release/PlaxoInstall.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/I ... _EN_XP.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003 ... scan53.cab
O16 - DPF: {7ED7005B-4AF6-4CFF-9AE0-F243C4B8260F} (HouseCallButton.setup) - http://de.trendmicro-europe.com/file_do ... Button.CAB
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.5 Combo Control) - http://www.pixdiscount.de/clients/ImageUploader3.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?323
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_DE2.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.48.49/g_bin/eng/snooker_2_0_0_20.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: dlbx_device - Dell - C:\WINDOWS\System32\dlbxcoms.exe
Vielen Dank schon mal im voraus!
Habe mir beim update vom AntiVir Programm dieses verflixte A.7. Virus eingefangen....Habe die Datein in das Quarantäneverzeichnis von AntiVir verschoben.
Ins Internet konnte ich danach wieder mühelos rein.
Hier sind meine logfile....
vielleicht gibt es da was zu sehen??
Logfile of HijackThis v1.99.1
Scan saved at 13:19:50, on 17.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOINTGR.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Dell Photo AIO Printer 962\dlbxmon.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Plaxo\2.1.0.80\InstallStub.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Gadu-Gadu\gg.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dlbxcoms.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.2.1./de/Setup.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.businessonline.t-online.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.businessonline.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von BusinessOnline
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll (file missing)
O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\2.bin\IMESHBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {FD7B5CB1-8DF0-47E6-AA07-41F1F85A1681} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\2.bin\IMESHBAR.DLL
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [USB] C:\WINDOWS\system32\usb.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\BusinessOnline\BOLog.exe"
O4 - HKLM\..\Run: [WeatherOnTray] C:\Programme\Hotbar\bin\4.5.3.0\WeatherOnTray.exe
O4 - HKLM\..\Run: [dlbxmon.exe] "C:\Programme\Dell Photo AIO Printer 962\dlbxmon.exe"
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programme\Plaxo\2.1.0.80\InstallStub.exe -a
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Startup: Registration-Studio 8 SE.lnk = C:\Programme\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: TREND MICRO HouseCall - {2B5EA4F8-620A-4A8B-B003-4C8C5EBEA826} - http://uk.trendmicro-europe.com/enterpr ... ll_pre.php (file missing)
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.businessonline.t-online.de
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/games/c ... 21t0_x.cab
O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/games/c ... mat3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/c ... potb_x.cab
O16 - DPF: Yahoo! Sheepshead - http://download.games.yahoo.com/games/c ... /dt0_x.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P ... _EN_XP.cab
O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - https://www.plaxo.com/down/release/PlaxoInstall.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/I ... _EN_XP.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003 ... scan53.cab
O16 - DPF: {7ED7005B-4AF6-4CFF-9AE0-F243C4B8260F} (HouseCallButton.setup) - http://de.trendmicro-europe.com/file_do ... Button.CAB
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.5 Combo Control) - http://www.pixdiscount.de/clients/ImageUploader3.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?323
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_DE2.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.48.49/g_bin/eng/snooker_2_0_0_20.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: dlbx_device - Dell - C:\WINDOWS\System32\dlbxcoms.exe
Vielen Dank schon mal im voraus!
- knulle0815
- Beiträge: 6
- Registriert: 17.09.2005, 13:37
von Nikita am 17.09.2005, 17:31
knulle0815
einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html
C:\WINDOWS\System32\dlbxcoms.exe
C:\WINDOWS\system32\usb.exe
C:\WINDOWS\system32\ps2.exe
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten
-----------------------------------------------------------------------------------
ist die newdotnet6_38.dll noch aktiv, lade:
LSPfix.exe
http://www.spychecker.com/program/lspfix.html
http://nikita.eddys-domain.de/lspfix.html
hake an: "I know what Im doing"
und loesche die newdotnet6_38.dll (kann auch eine andere Nummer haben)
(eventuell musst du die dll von links nach rechts bringen) --> Remove
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll (file missing)
O2 - BHO: C:\WINDOWS\lbbho.dll - {FD7B5CB1-8DF0-47E6-AA07-41F1F85A1681} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\2.bin\IMESHBAR.DLL
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [USB] C:\WINDOWS\system32\usb.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [WeatherOnTray] C:\Programme\Hotbar\bin\4.5.3.0\WeatherOnTray.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_DE2.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.48.49/g_bin/eng/snooker_2_0_0_20.cab
PC neustarten
Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"
deinstallieren:
New.net
iMesh
CCleaner -- loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html
Ewido (scannen)
http://nikita.eddys-domain.de/Ewido.html
poste den scanreport.
um den Backdoor zu finden:
poste mir alle 4 Logs
http://nikita.eddys-domain.de/datfindbat.html
einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html
C:\WINDOWS\System32\dlbxcoms.exe
C:\WINDOWS\system32\usb.exe
C:\WINDOWS\system32\ps2.exe
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten
-----------------------------------------------------------------------------------
ist die newdotnet6_38.dll noch aktiv, lade:
LSPfix.exe
http://www.spychecker.com/program/lspfix.html
http://nikita.eddys-domain.de/lspfix.html
hake an: "I know what Im doing"
und loesche die newdotnet6_38.dll (kann auch eine andere Nummer haben)
(eventuell musst du die dll von links nach rechts bringen) --> Remove
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll (file missing)
O2 - BHO: C:\WINDOWS\lbbho.dll - {FD7B5CB1-8DF0-47E6-AA07-41F1F85A1681} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\2.bin\IMESHBAR.DLL
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [USB] C:\WINDOWS\system32\usb.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [WeatherOnTray] C:\Programme\Hotbar\bin\4.5.3.0\WeatherOnTray.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_DE2.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.48.49/g_bin/eng/snooker_2_0_0_20.cab
PC neustarten
Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"
deinstallieren:
New.net
iMesh
CCleaner -- loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html
Ewido (scannen)
http://nikita.eddys-domain.de/Ewido.html
poste den scanreport.
um den Backdoor zu finden:
poste mir alle 4 Logs
http://nikita.eddys-domain.de/datfindbat.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von knulle0815 am 17.09.2005, 20:55
Hallo Nikita!
Die 3 einzelnen "exe" habe ich überprüft.
Ich konnte diese Ergebnisse leider nicht kopieren. Das Ergebnis war, keine Viren gefunden!
http://www.virustotal.com/flash/index_en.html
C:\WINDOWS\System32\dlbxcoms.exe
C:\WINDOWS\system32\usb.exe
C:\WINDOWS\system32\ps2.exe
Deiner weiteren Beschreibung bin ich bis zum Schluß gefolgt.
Hier ist der
ewido security suite - Scan Report
---------------------------------------------------------
+ Erstellt am: 20:25:03, 17.09.2005
+ Report-Checksumme: AC8D41E8
+ Scanergebnis:
HKLM\SOFTWARE\Classes\CLSID\{954814C0-40F3-4249-8528-B4922CD2964E} -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{96DA5BEE-4ACC-476C-B3EC-54C6730C4293} -> Spyware.CometCursor : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{A54814C0-40F3-4249-8528-B4922CD2964E} -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{8578D35E-C6C0-4808-9A80-0F6C29A2C423} -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{930A2B79-855E-4A18-80BB-4C0595B40798} -> Spyware.CometCursor : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{BC190DA5-0187-4D99-B3AC-6C45EA1B9324} -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{E61A0304-C605-441F-BD57-2833B65A69F1} -> Spyware.CometCursor : Gesäubert mit Backup
HKLM\SOFTWARE\DelFin -> Spyware.Delfin : Gesäubert mit Backup
HKLM\SOFTWARE\DelFin\PromulGate -> Spyware.Delfin : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{0594AF7E-573B-40DF-8165-E47AB2EAEFE8} -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{469C7080-8EC8-43A6-AD97-45848113743C} -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DelFin Media Viewer -> Spyware.Delfin : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hotbara -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hotbarb -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hotbarc -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MediaLoads Enhanced -> Spyware.Downloadware : Gesäubert mit Backup
HKLM\SOFTWARE\ShopperReports -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\ShopperReports\cs -> Spyware.HotBar : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\DelFin -> Spyware.Delfin : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\DelFin\PromulGate -> Spyware.Delfin : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\Microsoft\Internet Explorer\Explorer Bars\{90C61707-C8F8-43DB-A25C-C1F4B18EE41E} -> Spyware.CometCursor : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6CB0-410C-8C3D-8FA8D2011D0A} -> Spyware.iMesh : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2A8A997F-BB9F-48F6-AA2B-2762D50F9289} -> Spyware.SmartShopper : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -> Spyware.NewDotNet : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{946B3E9E-E21A-49C8-9F63-900533FAFE14} -> Spyware.HotBar : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E77EDA01-3C56-4A96-8D08-02B42891C169} -> Spyware.HotBar : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\ShopperReports -> Spyware.HotBar : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\ShopperReports\cs -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\676HP\Cookies\676hp@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\676HP\Cookies\676hp@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\676HP\Cookies\676hp@mysearch[2].txt -> Spyware.Cookie.Mysearch : Gesäubert mit Backup
C:\Dokumente und Einstellungen\676HP\Cookies\676hp@tribalfusion[1].txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup
C:\Dokumente und Einstellungen\676HP\Eigene Dateien\privat\downloads\avwinsfx.exe -> Heuristic.Win32.Backdoor.IrcBot : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\Config.xml -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\dwld -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\dwld\WhiteList.xip -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\persist.dbs -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\report -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\report\ag.xml -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\report\ag.xml.db -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\report\Header.xml -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\report\send.xml -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\report\send.xml.db -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\res1 -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\res1\whitelist.dbs -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\shprrprt.log -> Spyware.HotBar : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\NEWDOT~1.DLL.VIR -> Spyware.NewDotNet : Gesäubert mit Backup
C:\Programme\MediaLoads\v1\ML.exe -> Spyware.DownloadWare : Gesäubert mit Backup
C:\Programme\ShopperReports -> Spyware.HotBar : Gesäubert mit Backup
C:\Programme\ShopperReports\Bin -> Spyware.HotBar : Gesäubert mit Backup
C:\Programme\ShopperReports\Bin\1.0.0.1 -> Spyware.HotBar : Gesäubert mit Backup
C:\Programme\ShopperReports\cs -> Spyware.HotBar : Gesäubert mit Backup
C:\Programme\ShopperReports\cs\persist.dbs -> Spyware.HotBar : Gesäubert mit Backup
C:\Programme\ShopperReports\uninst.exe -> Spyware.HotBar : Gesäubert mit Backup
C:\WINDOWS\lbbho.dll -> Spyware.Neon : Gesäubert mit Backup
C:\WINDOWS\NDNuninstall5_40.exe -> Spyware.NewDotNet : Gesäubert mit Backup
C:\WINDOWS\NDNuninstall6_10.exe -> Spyware.NewDotNet : Gesäubert mit Backup
C:\WINDOWS\NDNuninstall6_22.exe -> Spyware.NewDotNet : Gesäubert mit Backup
C:\WINDOWS\NDNuninstall6_30.exe -> Spyware.NewDotNet : Gesäubert mit Backup
C:\WINDOWS\system32\config\systemprofile\Cookies\676hp@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
::Report Ende
Und hier sind noch die gewünschten 4 Reports:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4C20-4656
Verzeichnis von C:\
17.09.2005 20:28 0 sys.txt
17.09.2005 20:28 17.374 system.txt
17.09.2005 20:28 1.893 systemtemp.txt
17.09.2005 20:27 118.374 system32.txt
17.09.2005 19:13 27.972 dlbx.log
17.09.2005 19:12 108.541 dlbxscan.log
17.09.2005 19:12 536.403.968 hiberfil.sys
17.09.2005 19:12 402.653.184 pagefile.sys
21.07.2005 18:47 245 INSTALL.LOG
28.05.2005 17:53 235.296 ntldr
28.05.2005 17:53 47.580 NTDETECT.COM
19.02.2005 14:20 211 boot.ini
11.02.2005 21:40 172 setupfax.log
03.10.2004 17:10 1.033 log.txt
24.03.2004 19:13 4.746 TDSLCheck.txt
26.07.2003 11:27 18.284 GatorPatch.log
05.07.2003 11:52 97 debuglog.txt
18.06.2003 18:18 663 IPH.PH
21.03.2003 00:11 2.074 memoryLogFile.log
27.12.2002 22:45 4.379 ffastun.ffa
27.12.2002 22:45 94.208 ffastun.ffo
27.12.2002 22:45 221.184 ffastun.ffl
27.12.2002 22:45 1.875.968 ffastun0.ffx
29.08.2002 14:00 4.952 bootfont.bin
12.03.2002 02:13 0 CONFIG.SYS
12.03.2002 02:13 0 MSDOS.SYS
12.03.2002 02:13 0 IO.SYS
12.03.2002 02:13 0 AUTOEXEC.BAT
28 Datei(en) 941.842.398 Bytes
0 Verzeichnis(se), 18.460.303.360 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4C20-4656
Verzeichnis von C:\WINDOWS
17.09.2005 19:47 174.195.712 outlook.pst
17.09.2005 19:15 1.721.193 WindowsUpdate.log
17.09.2005 19:14 868.896 setupapi.log
17.09.2005 19:13 0 0.log
17.09.2005 19:13 4.210 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
17.09.2005 19:13 159 wiadebug.log
17.09.2005 19:13 50 wiaservc.log
17.09.2005 19:12 2.048 bootstat.dat
17.09.2005 19:11 32.622 SchedLgU.Txt
17.09.2005 19:11 2.560 _MSRSTRT.EXE
17.09.2005 16:02 38 popcinfo.dat
17.09.2005 13:03 75 lbbho.ini
17.09.2005 13:00 11.249 resetlog.txt
17.09.2005 01:15 807 dellstat.ini
16.09.2005 22:23 71 pex.INI
06.09.2005 12:44 246.945 setupact.log
02.09.2005 14:26 20.840 wmsetup.log
01.09.2005 20:49 273 cdPlayer.ini
11.08.2005 15:03 157.996 iis6.log
11.08.2005 15:03 331.713 comsetup.log
11.08.2005 15:03 209.602 ntdtcsetup.log
11.08.2005 15:03 1.374 imsins.log
11.08.2005 15:03 427.682 tsoc.log
11.08.2005 15:03 16.402 KB899587.log
11.08.2005 15:03 54.094 msgsocm.log
11.08.2005 15:03 43.532 ocmsn.log
11.08.2005 15:03 599.366 ocgen.log
11.08.2005 15:03 1.041.251 FaxSetup.log
11.08.2005 15:03 18.471 updspapi.log
11.08.2005 15:03 1.374 imsins.BAK
11.08.2005 15:03 15.881 KB899591.log
11.08.2005 15:03 16.094 KB893756.log
11.08.2005 15:02 15.352 KB896423.log
11.08.2005 15:01 14.468 KB899588.log
11.08.2005 15:01 6.477 KB896727-IE6SP1-20050719.165959.log
03.08.2005 12:20 717 JeppView.ini
340 Datei(en) 248.897.913 Bytes
0 Verzeichnis(se), 18.460.291.072 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4C20-4656
Verzeichnis von C:\DOKUME~1\676HP\LOKALE~1\Temp
17.09.2005 19:16 512 ~DF2990.tmp
17.09.2005 19:16 16.384 ~DF2985.tmp
17.09.2005 19:12 224 WCESCOMM.LOG
17.09.2005 19:12 60.741 jusched.log
17.09.2005 14:32 73.490 GRD$LOGFILE.LOG
17.09.2005 13:00 16.384 ~DF40C4.tmp
17.09.2005 12:03 16.384 ~DF2FD1.tmp
17.09.2005 12:00 16.384 ~DF8128.tmp
17.09.2005 11:59 16.384 ~DF5AEB.tmp
17.09.2005 11:39 16.384 ~DF432C.tmp
17.09.2005 11:38 16.384 ~DF3451.tmp
17.09.2005 01:16 4 Twain001.Mtx
15.09.2005 11:06 63.700 java_install_reg.log
14.09.2005 14:34 73.466 wcesmgr.log
14.09.2005 07:34 1.663 outstore.log
09.09.2005 11:05 490 r2h52.tmp
02.09.2005 14:19 16.384 ~DF941.tmp
06.07.2005 22:47 105.984 mso31C.doc
06.07.2005 22:47 105.984 msoDA.doc
06.07.2005 22:45 103.936 mso7D.doc
06.07.2005 22:45 103.936 mso1C5.doc
06.07.2005 22:45 103.936 mso1F.doc
06.07.2005 22:45 103.936 mso37B.doc
06.07.2005 22:45 103.936 mso232.doc
34 Datei(en) 2.108.274 Bytes
0 Verzeichnis(se), 18.460.323.840 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4C20-4656
Verzeichnis von C:\WINDOWS\system32
17.09.2005 19:13 4.564 ModemLog_AVM ISDN Custom Config.txt
17.09.2005 19:13 5.044 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
17.09.2005 19:13 5.012 ModemLog_AVM ISDN BTX.txt
17.09.2005 19:13 5.062 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
17.09.2005 19:13 5.022 ModemLog_AVM ISDN FAX (G3).txt
17.09.2005 19:13 5.032 ModemLog_AVM ISDN - ISDN (X.75).txt
17.09.2005 19:13 5.034 ModemLog_AVM ISDN Mailbox (X.75).txt
17.09.2005 19:13 5.054 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
17.09.2005 19:13 5.074 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt
09.09.2005 05:08 2.006.368 MRT.exe
25.08.2005 15:57 2.266 qtplugin.log
05.08.2005 15:09 1.998 SDPlugin.isu
19.07.2005 12:38 2.699.264 MSHTML.DLL
08.07.2005 18:10 238.592 tapisrv.dll
08.07.2005 18:10 72.704 remotesp.tsp
30.06.2005 04:15 108.544 umpnpmgr.dll
29.06.2005 03:55 68.608 mscms.dll
29.06.2005 03:55 237.056 icm32.dll
19.06.2005 08:47 1.158 wpa.dbl
18.06.2005 00:25 581.632 WININET.DLL
18.06.2005 00:25 1.017.856 BROWSEUI.DLL
18.06.2005 00:25 1.338.368 SHDOCVW.DLL
15.06.2005 19:51 285.184 kerberos.dll
11.06.2005 04:42 102.400 win32spl.dll
11.06.2005 01:55 53.248 spoolsv.exe
29.05.2005 15:10 238.352 FNTCACHE.DAT
28.05.2005 18:34 55.346 perfc009.dat
28.05.2005 18:34 385.226 perfh009.dat
28.05.2005 18:34 394.822 perfh007.dat
28.05.2005 18:34 65.650 perfc007.dat
28.05.2005 18:34 911.020 PerfStringBackup.INI
28.05.2005 18:30 16.832 amcompat.tlb
28.05.2005 18:30 23.392 nscompat.tlb
28.05.2005 18:02 35 spdwnwxp.log
27.05.2005 04:04 128.000 itss.dll
27.05.2005 04:04 38.912 hhsetup.dll
27.05.2005 04:04 143.872 itircl.dll
27.05.2005 04:04 519.168 hhctrl.ocx
26.05.2005 04:16 1.343.768 wuaueng.dll
26.05.2005 04:16 41.240 wups.dll
26.05.2005 04:16 173.536 wuweb.dll
26.05.2005 04:16 18.200 wups2.dll
26.05.2005 04:16 198.424 iuengine.dll
26.05.2005 04:16 75.544 cdm.dll
26.05.2005 04:16 124.696 wuauclt.exe
26.05.2005 04:16 194.840 wuaueng1.dll
26.05.2005 04:16 174.872 wuauclt1.exe
26.05.2005 04:16 128.280 wucltui.dll
26.05.2005 04:16 174.872 wuaucpl.cpl
26.05.2005 04:16 466.200 wuapi.dll
25.05.2005 10:15 409.088 SHLWAPI.DLL
17.05.2005 02:43 8.704 xpsp3res.dll
11.05.2005 04:41 74.752 telnet.exe
04.05.2005 14:45 15.360 msisip.dll
04.05.2005 14:45 78.848 msiexec.exe
04.05.2005 14:45 271.360 msihnd.dll
04.05.2005 14:45 884.736 msimsg.dll
04.05.2005 14:45 2.890.240 msi.dll
03.05.2005 16:26 596.480 INETCOMM.DLL
27.04.2005 10:53 34.816 PNGFILT.DLL
26.04.2005 08:29 62.976 webclnt.dll
21.03.2005 15:00 2.890.240 msi(2)(2).dll
16.03.2005 19:20 2.957 jupdate-1.5.0_01-b08.log
12.03.2005 16:51 6.705 mapisvc.inf
12.03.2005 16:12 8.059 INSTALL.LOG
12.03.2005 03:51 8.389.632 shell32.dll
12.03.2005 00:07 611.840 xpsp2res.dll
10.03.2005 10:04 605.696 urlmon(2)(2).dll
10.03.2005 10:04 474.112 shlwapi(2)(2).dll
10.03.2005 10:04 662.528 wininet(2)(2).dll
Die 3 einzelnen "exe" habe ich überprüft.
Ich konnte diese Ergebnisse leider nicht kopieren. Das Ergebnis war, keine Viren gefunden!
http://www.virustotal.com/flash/index_en.html
C:\WINDOWS\System32\dlbxcoms.exe
C:\WINDOWS\system32\usb.exe
C:\WINDOWS\system32\ps2.exe
Deiner weiteren Beschreibung bin ich bis zum Schluß gefolgt.
Hier ist der
ewido security suite - Scan Report
---------------------------------------------------------
+ Erstellt am: 20:25:03, 17.09.2005
+ Report-Checksumme: AC8D41E8
+ Scanergebnis:
HKLM\SOFTWARE\Classes\CLSID\{954814C0-40F3-4249-8528-B4922CD2964E} -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{96DA5BEE-4ACC-476C-B3EC-54C6730C4293} -> Spyware.CometCursor : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{A54814C0-40F3-4249-8528-B4922CD2964E} -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{8578D35E-C6C0-4808-9A80-0F6C29A2C423} -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{930A2B79-855E-4A18-80BB-4C0595B40798} -> Spyware.CometCursor : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{BC190DA5-0187-4D99-B3AC-6C45EA1B9324} -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{E61A0304-C605-441F-BD57-2833B65A69F1} -> Spyware.CometCursor : Gesäubert mit Backup
HKLM\SOFTWARE\DelFin -> Spyware.Delfin : Gesäubert mit Backup
HKLM\SOFTWARE\DelFin\PromulGate -> Spyware.Delfin : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{0594AF7E-573B-40DF-8165-E47AB2EAEFE8} -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{469C7080-8EC8-43A6-AD97-45848113743C} -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DelFin Media Viewer -> Spyware.Delfin : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hotbara -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hotbarb -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hotbarc -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MediaLoads Enhanced -> Spyware.Downloadware : Gesäubert mit Backup
HKLM\SOFTWARE\ShopperReports -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\ShopperReports\cs -> Spyware.HotBar : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\DelFin -> Spyware.Delfin : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\DelFin\PromulGate -> Spyware.Delfin : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\Microsoft\Internet Explorer\Explorer Bars\{90C61707-C8F8-43DB-A25C-C1F4B18EE41E} -> Spyware.CometCursor : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6CB0-410C-8C3D-8FA8D2011D0A} -> Spyware.iMesh : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2A8A997F-BB9F-48F6-AA2B-2762D50F9289} -> Spyware.SmartShopper : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -> Spyware.NewDotNet : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{946B3E9E-E21A-49C8-9F63-900533FAFE14} -> Spyware.HotBar : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E77EDA01-3C56-4A96-8D08-02B42891C169} -> Spyware.HotBar : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\ShopperReports -> Spyware.HotBar : Gesäubert mit Backup
HKU\S-1-5-21-1776414002-1849704887-319774816-1005\Software\ShopperReports\cs -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\676HP\Cookies\676hp@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\676HP\Cookies\676hp@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\676HP\Cookies\676hp@mysearch[2].txt -> Spyware.Cookie.Mysearch : Gesäubert mit Backup
C:\Dokumente und Einstellungen\676HP\Cookies\676hp@tribalfusion[1].txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup
C:\Dokumente und Einstellungen\676HP\Eigene Dateien\privat\downloads\avwinsfx.exe -> Heuristic.Win32.Backdoor.IrcBot : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\Config.xml -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\dwld -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\dwld\WhiteList.xip -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\persist.dbs -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\report -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\report\ag.xml -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\report\ag.xml.db -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\report\Header.xml -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\report\send.xml -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\report\send.xml.db -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\res1 -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\cs\res1\whitelist.dbs -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ShopperReports\shprrprt.log -> Spyware.HotBar : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\NEWDOT~1.DLL.VIR -> Spyware.NewDotNet : Gesäubert mit Backup
C:\Programme\MediaLoads\v1\ML.exe -> Spyware.DownloadWare : Gesäubert mit Backup
C:\Programme\ShopperReports -> Spyware.HotBar : Gesäubert mit Backup
C:\Programme\ShopperReports\Bin -> Spyware.HotBar : Gesäubert mit Backup
C:\Programme\ShopperReports\Bin\1.0.0.1 -> Spyware.HotBar : Gesäubert mit Backup
C:\Programme\ShopperReports\cs -> Spyware.HotBar : Gesäubert mit Backup
C:\Programme\ShopperReports\cs\persist.dbs -> Spyware.HotBar : Gesäubert mit Backup
C:\Programme\ShopperReports\uninst.exe -> Spyware.HotBar : Gesäubert mit Backup
C:\WINDOWS\lbbho.dll -> Spyware.Neon : Gesäubert mit Backup
C:\WINDOWS\NDNuninstall5_40.exe -> Spyware.NewDotNet : Gesäubert mit Backup
C:\WINDOWS\NDNuninstall6_10.exe -> Spyware.NewDotNet : Gesäubert mit Backup
C:\WINDOWS\NDNuninstall6_22.exe -> Spyware.NewDotNet : Gesäubert mit Backup
C:\WINDOWS\NDNuninstall6_30.exe -> Spyware.NewDotNet : Gesäubert mit Backup
C:\WINDOWS\system32\config\systemprofile\Cookies\676hp@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
::Report Ende
Und hier sind noch die gewünschten 4 Reports:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4C20-4656
Verzeichnis von C:\
17.09.2005 20:28 0 sys.txt
17.09.2005 20:28 17.374 system.txt
17.09.2005 20:28 1.893 systemtemp.txt
17.09.2005 20:27 118.374 system32.txt
17.09.2005 19:13 27.972 dlbx.log
17.09.2005 19:12 108.541 dlbxscan.log
17.09.2005 19:12 536.403.968 hiberfil.sys
17.09.2005 19:12 402.653.184 pagefile.sys
21.07.2005 18:47 245 INSTALL.LOG
28.05.2005 17:53 235.296 ntldr
28.05.2005 17:53 47.580 NTDETECT.COM
19.02.2005 14:20 211 boot.ini
11.02.2005 21:40 172 setupfax.log
03.10.2004 17:10 1.033 log.txt
24.03.2004 19:13 4.746 TDSLCheck.txt
26.07.2003 11:27 18.284 GatorPatch.log
05.07.2003 11:52 97 debuglog.txt
18.06.2003 18:18 663 IPH.PH
21.03.2003 00:11 2.074 memoryLogFile.log
27.12.2002 22:45 4.379 ffastun.ffa
27.12.2002 22:45 94.208 ffastun.ffo
27.12.2002 22:45 221.184 ffastun.ffl
27.12.2002 22:45 1.875.968 ffastun0.ffx
29.08.2002 14:00 4.952 bootfont.bin
12.03.2002 02:13 0 CONFIG.SYS
12.03.2002 02:13 0 MSDOS.SYS
12.03.2002 02:13 0 IO.SYS
12.03.2002 02:13 0 AUTOEXEC.BAT
28 Datei(en) 941.842.398 Bytes
0 Verzeichnis(se), 18.460.303.360 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4C20-4656
Verzeichnis von C:\WINDOWS
17.09.2005 19:47 174.195.712 outlook.pst
17.09.2005 19:15 1.721.193 WindowsUpdate.log
17.09.2005 19:14 868.896 setupapi.log
17.09.2005 19:13 0 0.log
17.09.2005 19:13 4.210 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
17.09.2005 19:13 159 wiadebug.log
17.09.2005 19:13 50 wiaservc.log
17.09.2005 19:12 2.048 bootstat.dat
17.09.2005 19:11 32.622 SchedLgU.Txt
17.09.2005 19:11 2.560 _MSRSTRT.EXE
17.09.2005 16:02 38 popcinfo.dat
17.09.2005 13:03 75 lbbho.ini
17.09.2005 13:00 11.249 resetlog.txt
17.09.2005 01:15 807 dellstat.ini
16.09.2005 22:23 71 pex.INI
06.09.2005 12:44 246.945 setupact.log
02.09.2005 14:26 20.840 wmsetup.log
01.09.2005 20:49 273 cdPlayer.ini
11.08.2005 15:03 157.996 iis6.log
11.08.2005 15:03 331.713 comsetup.log
11.08.2005 15:03 209.602 ntdtcsetup.log
11.08.2005 15:03 1.374 imsins.log
11.08.2005 15:03 427.682 tsoc.log
11.08.2005 15:03 16.402 KB899587.log
11.08.2005 15:03 54.094 msgsocm.log
11.08.2005 15:03 43.532 ocmsn.log
11.08.2005 15:03 599.366 ocgen.log
11.08.2005 15:03 1.041.251 FaxSetup.log
11.08.2005 15:03 18.471 updspapi.log
11.08.2005 15:03 1.374 imsins.BAK
11.08.2005 15:03 15.881 KB899591.log
11.08.2005 15:03 16.094 KB893756.log
11.08.2005 15:02 15.352 KB896423.log
11.08.2005 15:01 14.468 KB899588.log
11.08.2005 15:01 6.477 KB896727-IE6SP1-20050719.165959.log
03.08.2005 12:20 717 JeppView.ini
340 Datei(en) 248.897.913 Bytes
0 Verzeichnis(se), 18.460.291.072 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4C20-4656
Verzeichnis von C:\DOKUME~1\676HP\LOKALE~1\Temp
17.09.2005 19:16 512 ~DF2990.tmp
17.09.2005 19:16 16.384 ~DF2985.tmp
17.09.2005 19:12 224 WCESCOMM.LOG
17.09.2005 19:12 60.741 jusched.log
17.09.2005 14:32 73.490 GRD$LOGFILE.LOG
17.09.2005 13:00 16.384 ~DF40C4.tmp
17.09.2005 12:03 16.384 ~DF2FD1.tmp
17.09.2005 12:00 16.384 ~DF8128.tmp
17.09.2005 11:59 16.384 ~DF5AEB.tmp
17.09.2005 11:39 16.384 ~DF432C.tmp
17.09.2005 11:38 16.384 ~DF3451.tmp
17.09.2005 01:16 4 Twain001.Mtx
15.09.2005 11:06 63.700 java_install_reg.log
14.09.2005 14:34 73.466 wcesmgr.log
14.09.2005 07:34 1.663 outstore.log
09.09.2005 11:05 490 r2h52.tmp
02.09.2005 14:19 16.384 ~DF941.tmp
06.07.2005 22:47 105.984 mso31C.doc
06.07.2005 22:47 105.984 msoDA.doc
06.07.2005 22:45 103.936 mso7D.doc
06.07.2005 22:45 103.936 mso1C5.doc
06.07.2005 22:45 103.936 mso1F.doc
06.07.2005 22:45 103.936 mso37B.doc
06.07.2005 22:45 103.936 mso232.doc
34 Datei(en) 2.108.274 Bytes
0 Verzeichnis(se), 18.460.323.840 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4C20-4656
Verzeichnis von C:\WINDOWS\system32
17.09.2005 19:13 4.564 ModemLog_AVM ISDN Custom Config.txt
17.09.2005 19:13 5.044 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
17.09.2005 19:13 5.012 ModemLog_AVM ISDN BTX.txt
17.09.2005 19:13 5.062 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
17.09.2005 19:13 5.022 ModemLog_AVM ISDN FAX (G3).txt
17.09.2005 19:13 5.032 ModemLog_AVM ISDN - ISDN (X.75).txt
17.09.2005 19:13 5.034 ModemLog_AVM ISDN Mailbox (X.75).txt
17.09.2005 19:13 5.054 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
17.09.2005 19:13 5.074 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt
09.09.2005 05:08 2.006.368 MRT.exe
25.08.2005 15:57 2.266 qtplugin.log
05.08.2005 15:09 1.998 SDPlugin.isu
19.07.2005 12:38 2.699.264 MSHTML.DLL
08.07.2005 18:10 238.592 tapisrv.dll
08.07.2005 18:10 72.704 remotesp.tsp
30.06.2005 04:15 108.544 umpnpmgr.dll
29.06.2005 03:55 68.608 mscms.dll
29.06.2005 03:55 237.056 icm32.dll
19.06.2005 08:47 1.158 wpa.dbl
18.06.2005 00:25 581.632 WININET.DLL
18.06.2005 00:25 1.017.856 BROWSEUI.DLL
18.06.2005 00:25 1.338.368 SHDOCVW.DLL
15.06.2005 19:51 285.184 kerberos.dll
11.06.2005 04:42 102.400 win32spl.dll
11.06.2005 01:55 53.248 spoolsv.exe
29.05.2005 15:10 238.352 FNTCACHE.DAT
28.05.2005 18:34 55.346 perfc009.dat
28.05.2005 18:34 385.226 perfh009.dat
28.05.2005 18:34 394.822 perfh007.dat
28.05.2005 18:34 65.650 perfc007.dat
28.05.2005 18:34 911.020 PerfStringBackup.INI
28.05.2005 18:30 16.832 amcompat.tlb
28.05.2005 18:30 23.392 nscompat.tlb
28.05.2005 18:02 35 spdwnwxp.log
27.05.2005 04:04 128.000 itss.dll
27.05.2005 04:04 38.912 hhsetup.dll
27.05.2005 04:04 143.872 itircl.dll
27.05.2005 04:04 519.168 hhctrl.ocx
26.05.2005 04:16 1.343.768 wuaueng.dll
26.05.2005 04:16 41.240 wups.dll
26.05.2005 04:16 173.536 wuweb.dll
26.05.2005 04:16 18.200 wups2.dll
26.05.2005 04:16 198.424 iuengine.dll
26.05.2005 04:16 75.544 cdm.dll
26.05.2005 04:16 124.696 wuauclt.exe
26.05.2005 04:16 194.840 wuaueng1.dll
26.05.2005 04:16 174.872 wuauclt1.exe
26.05.2005 04:16 128.280 wucltui.dll
26.05.2005 04:16 174.872 wuaucpl.cpl
26.05.2005 04:16 466.200 wuapi.dll
25.05.2005 10:15 409.088 SHLWAPI.DLL
17.05.2005 02:43 8.704 xpsp3res.dll
11.05.2005 04:41 74.752 telnet.exe
04.05.2005 14:45 15.360 msisip.dll
04.05.2005 14:45 78.848 msiexec.exe
04.05.2005 14:45 271.360 msihnd.dll
04.05.2005 14:45 884.736 msimsg.dll
04.05.2005 14:45 2.890.240 msi.dll
03.05.2005 16:26 596.480 INETCOMM.DLL
27.04.2005 10:53 34.816 PNGFILT.DLL
26.04.2005 08:29 62.976 webclnt.dll
21.03.2005 15:00 2.890.240 msi(2)(2).dll
16.03.2005 19:20 2.957 jupdate-1.5.0_01-b08.log
12.03.2005 16:51 6.705 mapisvc.inf
12.03.2005 16:12 8.059 INSTALL.LOG
12.03.2005 03:51 8.389.632 shell32.dll
12.03.2005 00:07 611.840 xpsp2res.dll
10.03.2005 10:04 605.696 urlmon(2)(2).dll
10.03.2005 10:04 474.112 shlwapi(2)(2).dll
10.03.2005 10:04 662.528 wininet(2)(2).dll
- knulle0815
- Beiträge: 6
- Registriert: 17.09.2005, 13:37
von Nikita am 17.09.2005, 22:39
loesche:
C:\GatorPatch.log
C:\WINDOWS\lbbho.ini
mache einen Onlinescan mit Kaspersky und berichte
http://nikita.eddys-domain.de/onlinescan.html
C:\GatorPatch.log
C:\WINDOWS\lbbho.ini
mache einen Onlinescan mit Kaspersky und berichte
http://nikita.eddys-domain.de/onlinescan.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von knulle0815 am 18.09.2005, 09:25
Guten Morgen Nikita!
Beide Datein
C:\GatorPatch.log
C:\WINDOWS\lbbho.ini
gelöscht!
einen Onlinescan mit Kaspersky und hier der Berichte:
Sunday, September 18, 2005 00:58:23
Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 17/09/2005
Kaspersky Anti-Virus database records: 140739
Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
A:\
C:\
D:\
E:\
F:\
G:\
Scan Statistics
Total number of scanned objects 91926
Number of viruses found 4
Number of infected objects 4
Number of suspicious objects 3
Duration of the scan process 4985 sec
Infected Object Name Virus Name
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Anwendungsdaten\Identities\{ED67B344-7234-423F-958B-94CEACE40CB9}\Microsoft\Outlook Express\Posteingang.dbx/[From DEUTSCHE BANK ][Date Tue, 16 Aug 2005 14:34:48 +0200]/UNNAMED/html Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Anwendungsdaten\Identities\{ED67B344-7234-423F-958B-94CEACE40CB9}\Microsoft\Outlook Express\Posteingang.dbx/[From DEUTSCHE BANK ][Date Tue, 16 Aug 2005 14:34:48 +0200]/UNNAMED Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Anwendungsdaten\Identities\{ED67B344-7234-423F-958B-94CEACE40CB9}\Microsoft\Outlook Express\Posteingang.dbx Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.21.dat Infected: Trojan-Downloader.Win32.Small.bdl
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.26.dat Infected: Trojan.Win32.Dialer.fy
C:\WINDOWS\system32\sixxsy.dll Infected: Email-Worm.Win32.Tanatos.b.dam2
C:\WINDOWS\system32\zcddzhn.dll Infected: Email-Worm.Win32.Tanatos.b.dam2
Scan process completed.
Ich glaube, da gibt es noch ein oder mehrere Probleme!
Bitte weiterhin helfen!
MfG
Knulle0815
Beide Datein
C:\GatorPatch.log
C:\WINDOWS\lbbho.ini
gelöscht!
einen Onlinescan mit Kaspersky und hier der Berichte:
Sunday, September 18, 2005 00:58:23
Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 17/09/2005
Kaspersky Anti-Virus database records: 140739
Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
A:\
C:\
D:\
E:\
F:\
G:\
Scan Statistics
Total number of scanned objects 91926
Number of viruses found 4
Number of infected objects 4
Number of suspicious objects 3
Duration of the scan process 4985 sec
Infected Object Name Virus Name
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Anwendungsdaten\Identities\{ED67B344-7234-423F-958B-94CEACE40CB9}\Microsoft\Outlook Express\Posteingang.dbx/[From DEUTSCHE BANK ][Date Tue, 16 Aug 2005 14:34:48 +0200]/UNNAMED/html Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Anwendungsdaten\Identities\{ED67B344-7234-423F-958B-94CEACE40CB9}\Microsoft\Outlook Express\Posteingang.dbx/[From DEUTSCHE BANK ][Date Tue, 16 Aug 2005 14:34:48 +0200]/UNNAMED Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Anwendungsdaten\Identities\{ED67B344-7234-423F-958B-94CEACE40CB9}\Microsoft\Outlook Express\Posteingang.dbx Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.21.dat Infected: Trojan-Downloader.Win32.Small.bdl
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.26.dat Infected: Trojan.Win32.Dialer.fy
C:\WINDOWS\system32\sixxsy.dll Infected: Email-Worm.Win32.Tanatos.b.dam2
C:\WINDOWS\system32\zcddzhn.dll Infected: Email-Worm.Win32.Tanatos.b.dam2
Scan process completed.
Ich glaube, da gibt es noch ein oder mehrere Probleme!
Bitte weiterhin helfen!
MfG
Knulle0815
- knulle0815
- Beiträge: 6
- Registriert: 17.09.2005, 13:37
von Nikita am 18.09.2005, 10:57
ich wusste, dass dein PC schwer verseucht , deshalb war es gut, dass du alles abgearbeitet hast 
1. beende die Arbeit mit dem Outlook, es ist einfach zu unsicher, melde dich bei einem Mailanbieter im Web an, denn die haben effektive Filter vorgeschaltet .
loesche diese Mail
From DEUTSCHE BANK ][Date Tue, 16 Aug 2005 14:34:48 +0200
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html
•Delete File on Reboot <--anhaken
und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
-->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process".
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.21.dat
C:\WINDOWS\system32\sixxsy.dll
C:\WINDOWS\system32\zcddzhn.dll
PC neustarten
dann scanne noch mal mit kaspersky
Info: Pishing-Mails:
http://firstmonday.org/issues/issue10_9/abad/
http://nikita.eddys-domain.de/phishing1.html
1. beende die Arbeit mit dem Outlook, es ist einfach zu unsicher, melde dich bei einem Mailanbieter im Web an, denn die haben effektive Filter vorgeschaltet .
loesche diese Mail
From DEUTSCHE BANK ][Date Tue, 16 Aug 2005 14:34:48 +0200
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html
•Delete File on Reboot <--anhaken
und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
-->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process".
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.21.dat
C:\WINDOWS\system32\sixxsy.dll
C:\WINDOWS\system32\zcddzhn.dll
PC neustarten
dann scanne noch mal mit kaspersky
Info: Pishing-Mails:
http://firstmonday.org/issues/issue10_9/abad/
http://nikita.eddys-domain.de/phishing1.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von knulle0815 am 18.09.2005, 15:43
Hallo Nikita!
Scheinen noch nicht ganz das Problem gelöst zu haben.
diese Mail gelöscht:
From DEUTSCHE BANK ][Date Tue, 16 Aug 2005 14:34:48 +0200
•KillBox erledigt, PC neu gestartet und
nochmal mit kaspersky gescannt.
Hier das Ergebnis:
Sunday, September 18, 2005 15:30:50
Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 18/09/2005
Kaspersky Anti-Virus database records: 140840
Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
A:\
C:\
D:\
E:\
F:\
G:\
Scan Statistics
Total number of scanned objects 92293
Number of viruses found 2
Number of infected objects 3
Number of suspicious objects 0
Duration of the scan process 5160 sec
Infected Object Name Virus Name
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.21.dat Infected: Trojan-Downloader.Win32.Small.bdl
C:\WINDOWS\system32\sixxsy.dll Infected: Email-Worm.Win32.Tanatos.b.dam2
C:\WINDOWS\system32\zcddzhn.dll Infected: Email-Worm.Win32.Tanatos.b.dam2
Scan process completed.
Haben es aber bestimmt bald geschafft!
MfG
Knulle0815
Scheinen noch nicht ganz das Problem gelöst zu haben.
diese Mail gelöscht:
From DEUTSCHE BANK ][Date Tue, 16 Aug 2005 14:34:48 +0200
•KillBox erledigt, PC neu gestartet und
nochmal mit kaspersky gescannt.
Hier das Ergebnis:
Sunday, September 18, 2005 15:30:50
Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 18/09/2005
Kaspersky Anti-Virus database records: 140840
Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
A:\
C:\
D:\
E:\
F:\
G:\
Scan Statistics
Total number of scanned objects 92293
Number of viruses found 2
Number of infected objects 3
Number of suspicious objects 0
Duration of the scan process 5160 sec
Infected Object Name Virus Name
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.21.dat Infected: Trojan-Downloader.Win32.Small.bdl
C:\WINDOWS\system32\sixxsy.dll Infected: Email-Worm.Win32.Tanatos.b.dam2
C:\WINDOWS\system32\zcddzhn.dll Infected: Email-Worm.Win32.Tanatos.b.dam2
Scan process completed.
Haben es aber bestimmt bald geschafft!
MfG
Knulle0815
- knulle0815
- Beiträge: 6
- Registriert: 17.09.2005, 13:37
von Nikita am 19.09.2005, 16:46
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.21.dat
C:\WINDOWS\system32\sixxsy.dll
C:\WINDOWS\system32\zcddzhn.dll
mit der Killbox loeschen
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
dann ueberpruefen, ob das weg ist:
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.21.dat
C:\WINDOWS\system32\sixxsy.dll
C:\WINDOWS\system32\zcddzhn.dll
mit der Killbox loeschen
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
dann ueberpruefen, ob das weg ist:
C:\Dokumente und Einstellungen\676HP\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.21.dat
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von knulle0815 am 22.09.2005, 14:09
Guten Tag Nikita!
Danke fuer deine Antwort. Kann die letzte empfohlene Aktion erst am 25.09.2005 machen. Bin auf Dienstreise in der Welt unterwegs.
Melde mich dann, wenn ich die Aktion gemacht habe wieder. Hoffentlich haben wir dann alles wieder im Griff.
MfG
Knulle0815
Danke fuer deine Antwort. Kann die letzte empfohlene Aktion erst am 25.09.2005 machen. Bin auf Dienstreise in der Welt unterwegs.
Melde mich dann, wenn ich die Aktion gemacht habe wieder. Hoffentlich haben wir dann alles wieder im Griff.
MfG
Knulle0815
- knulle0815
- Beiträge: 6
- Registriert: 17.09.2005, 13:37
von neukriggebach am 26.09.2005, 10:44
Hi Knulle
Hatte das gleiche Problem wie du.
Bei mir hat folgender Tipp geholfen:
http://www.spotlight.de/zforen/sec/m/se ... -4141.html
Hört sich etwas einfacher
Grüße neukriggebach
Hatte das gleiche Problem wie du.
Bei mir hat folgender Tipp geholfen:
http://www.spotlight.de/zforen/sec/m/se ... -4141.html
Hört sich etwas einfacher
Grüße neukriggebach
- neukriggebach
- Beiträge: 1
- Registriert: 26.09.2005, 10:16
A.7. Virus
von knulle0815 am 26.09.2005, 17:44
Hallo Nikita!
Nun ist der PC wieder sauber!
Vielen Dank für die super Hilfe!!!!! !!!!
Bis später mal wieder.....
MfG
Knulle0815
Nun ist der PC wieder sauber!
Vielen Dank für die super Hilfe!!!!!
!!!!
Bis später mal wieder.....
MfG
Knulle0815
- knulle0815
- Beiträge: 6
- Registriert: 17.09.2005, 13:37
11 Beiträge • Seite 1 von 1
Ähnliche Themen
| virus, virus, noch mehr virus Forum: Online- und PC-Sicherheit Autor: Harun Antworten: 11 |
Virus oder kein Virus? Das ist hier die Frage.... Forum: Online- und PC-Sicherheit Autor: Skeezie Antworten: 6 |
explorer.exe virus...../Virus.Win32.Bube.l Forum: Online- und PC-Sicherheit Autor: skorpion23211 Antworten: 8 |
Virus: PHISH/DeutBkfraud.L-Virus Forum: Online- und PC-Sicherheit Autor: Alex K. Antworten: 9 |
virus?? Forum: Online- und PC-Sicherheit Autor: dex Antworten: 1 |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste