HijackThis Logfile -bitte mal ansehen-
23 Beiträge • Seite 1 von 2 • 1, 2
HijackThis Logfile -bitte mal ansehen-
von beavis am 30.12.2005, 21:32
hallo zusammen,
habe seit vorgestern massive probleme mit meinem browser und hab daher mal gegoogel, wodurch ich dann hier in euer forum gelangt bin.
im beitrag 32592 wurde mein problem bereits einmal behandel.
habe mir daraufhin auch sämtliche empfohlenen programme mal heruntergeladen, bin aber zu keinem zufriedenstellenden ergebnis gekommen.
würde die spezies unter euch daher mal bitten, sich meinen HijackThis logfile mal anzusehen und mir mitzuteilen wie ich am besten gegen diesen parasiten vorgehen kann.
danke im voraus !
grüße
beavis
Logfile of HijackThis v1.99.1
Scan saved at 20:32:54, on 30.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\Explorer.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Baumi\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7566082250
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
habe seit vorgestern massive probleme mit meinem browser und hab daher mal gegoogel, wodurch ich dann hier in euer forum gelangt bin.
im beitrag 32592 wurde mein problem bereits einmal behandel.
habe mir daraufhin auch sämtliche empfohlenen programme mal heruntergeladen, bin aber zu keinem zufriedenstellenden ergebnis gekommen.
würde die spezies unter euch daher mal bitten, sich meinen HijackThis logfile mal anzusehen und mir mitzuteilen wie ich am besten gegen diesen parasiten vorgehen kann.
danke im voraus !
grüße
beavis
Logfile of HijackThis v1.99.1
Scan saved at 20:32:54, on 30.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\Explorer.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Baumi\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7566082250
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
- beavis
- Beiträge: 15
- Registriert: 30.12.2005, 21:16
von beavis am 30.12.2005, 21:52
hier aus der "datfindbat". sehe gerade, dass ihr die auch noch benötigt.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7
Verzeichnis von C:\WINDOWS\system32
30.12.2005 20:01 7.275 nvapps.xml
30.12.2005 16:48 4.511 sachosts.exe
30.12.2005 16:48 4.972 sachostc.exe
30.12.2005 16:47 8.556 sachostw.exe <-- Alle W32.Looksky.A/D Worm
30.12.2005 16:47 0 hard.lck
30.12.2005 16:47 76.829 attrib.ini
30.12.2005 16:47 8.090 sachostp.exe
30.12.2005 16:45 5.632 msvcrl.dll
30.12.2005 16:17 62.658 vxgame3.exe
30.12.2005 16:17 8.238 vxgame2.exe <-- Alle Trojan-Dropper.Win32.Small.wv, inf3ct3d alias Troj.VXGame
30.12.2005 16:17 3.045 vxgame1.exe
29.12.2005 00:43 20.743 vxh8jkdq2.exe
28.12.2005 20:02 7.513 sachostm.exe <-- W32.Looksky.A/D Worm
26.12.2005 16:28 46.592 zlbw.dll
26.12.2005 16:27 15.689 msvcp.exe
26.12.2005 16:27 4 winsub.xml
26.12.2005 16:27 65 svcp.csv
26.12.2005 16:27 1 vx.tll
26.12.2005 16:18 4.101 paytime.exe
26.12.2005 15:41 2.206 wpa.dbl
08.12.2005 16:25 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
17.11.2005 16:24 233.576 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
04.11.2005 10:39 376.016 perfh009.dat
04.11.2005 10:39 386.338 perfh007.dat
04.11.2005 10:39 51.814 perfc009.dat
04.11.2005 10:39 62.578 perfc007.dat
04.11.2005 10:39 886.928 PerfStringBackup.INI
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 18.432 oleext.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 205.312 dxtrans.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:15 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7
Verzeichnis von C:\DOKUME~1\Baumi\LOKALE~1\Temp
30.12.2005 20:14 16.384 ~DF2E58.tmp
30.12.2005 19:47 16.384 ~DF5B61.tmp
2 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 126.375.952.384 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7
Verzeichnis von C:\WINDOWS
30.12.2005 20:23 6.104 ModemLog_Bluetooth DUN Modem.txt
30.12.2005 20:23 6.098 ModemLog_Bluetooth Fax Modem.txt
30.12.2005 20:23 0 0.log
30.12.2005 20:23 3.844 ModemLog_Agere Systems PCI Soft Modem.txt
30.12.2005 20:23 1.076.900 WindowsUpdate.log
30.12.2005 20:23 2.048 bootstat.dat
30.12.2005 20:22 32.622 SchedLgU.Txt
30.12.2005 13:44 282 system.ini
30.12.2005 12:47 3.584 uninstIU.exe
30.12.2005 12:47 1.430 warnhp.html
29.12.2005 01:16 83.684 1993.exe
26.12.2005 16:18 8.238 tool3.exe
26.12.2005 16:18 23.936 toolbar.exe
26.12.2005 16:17 32.256 tool2.exe
26.12.2005 16:17 0 uniq
24.12.2005 02:38 54.156 QTFont.qfn
22.10.2005 16:21 116 NeroDigital.ini
27.05.2005 00:22 10.752 hh.exe
30.04.2005 16:48 3.846 ModemLog_Creatix V.92 Data Fax Modem.txt
04.03.2005 11:01 88.209 AGRSMMSG.exe
28.02.2005 22:41 68.096 agrsmdel.exe
25.01.2005 13:51 1.409 QTFont.for
09.01.2005 20:40 705 tmp.hta
24.11.2004 19:36 309 Clony2.ini
17.11.2004 14:37 477 win.ini
17.11.2004 14:37 2 msoffice.ini
17.11.2004 14:17 2.490 ModemLog_Bluetooth LAP Modem #2.txt
17.11.2004 14:17 2.490 ModemLog_Bluetooth LAP Modem.txt
18.10.2004 00:12 134 WISO.INI
18.10.2004 00:12 231.424 fpuninst.exe
17.10.2004 23:32 400 ODBC.INI
13.10.2004 11:33 61 smscfg.ini
13.10.2004 10:39 892 orun32.ini
13.10.2004 09:49 316.640 WMSysPr9.prx
12.10.2004 12:34 228.159 orun32.isu
12.10.2004 10:22 25 cdplayer.ini
12.10.2004 09:06 8.192 REGLOCS.OLD
12.10.2004 09:04 335 nsreg.dat
12.10.2004 07:02 47 InoSetup.ini
11.10.2004 19:57 0 control.ini
11.10.2004 19:57 4.161 ODBCINST.INI
11.10.2004 19:56 749 WindowsShell.Manifest
11.10.2004 19:55 37 vbaddin.ini
11.10.2004 19:55 36 vb.ini
04.10.2004 14:10 148.630 UNNeroVision.cfg
28.09.2004 17:00 2.269.184 UNNeroVision.exe
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7
Verzeichnis von C:\
30.12.2005 21:13 0 sys.txt
30.12.2005 21:13 5.454 system.txt
30.12.2005 21:12 333 systemtemp.txt
30.12.2005 21:11 101.480 system32.txt
30.12.2005 20:23 536.399.872 hiberfil.sys
30.12.2005 20:23 805.306.368 pagefile.sys
30.12.2005 18:52 13.279 messanger.ini
21.12.2005 16:09 8.692.224 avwinsfx.exe
17.11.2004 14:09 211 boot.ini
22.10.2004 20:17 100 AUTOEXEC.BAT
12.10.2004 13:32 102 Platform.ini
12.10.2004 09:05 776 IPH.PH
11.10.2004 19:57 0 CONFIG.SYS
11.10.2004 19:57 0 IO.SYS
11.10.2004 19:57 0 MSDOS.SYS
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7
Verzeichnis von C:\WINDOWS\system32
30.12.2005 20:01 7.275 nvapps.xml
30.12.2005 16:48 4.511 sachosts.exe
30.12.2005 16:48 4.972 sachostc.exe
30.12.2005 16:47 8.556 sachostw.exe <-- Alle W32.Looksky.A/D Worm
30.12.2005 16:47 0 hard.lck
30.12.2005 16:47 76.829 attrib.ini
30.12.2005 16:47 8.090 sachostp.exe
30.12.2005 16:45 5.632 msvcrl.dll
30.12.2005 16:17 62.658 vxgame3.exe
30.12.2005 16:17 8.238 vxgame2.exe <-- Alle Trojan-Dropper.Win32.Small.wv, inf3ct3d alias Troj.VXGame
30.12.2005 16:17 3.045 vxgame1.exe
29.12.2005 00:43 20.743 vxh8jkdq2.exe
28.12.2005 20:02 7.513 sachostm.exe <-- W32.Looksky.A/D Worm
26.12.2005 16:28 46.592 zlbw.dll
26.12.2005 16:27 15.689 msvcp.exe
26.12.2005 16:27 4 winsub.xml
26.12.2005 16:27 65 svcp.csv
26.12.2005 16:27 1 vx.tll
26.12.2005 16:18 4.101 paytime.exe
26.12.2005 15:41 2.206 wpa.dbl
08.12.2005 16:25 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
17.11.2005 16:24 233.576 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
04.11.2005 10:39 376.016 perfh009.dat
04.11.2005 10:39 386.338 perfh007.dat
04.11.2005 10:39 51.814 perfc009.dat
04.11.2005 10:39 62.578 perfc007.dat
04.11.2005 10:39 886.928 PerfStringBackup.INI
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 18.432 oleext.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 205.312 dxtrans.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:15 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7
Verzeichnis von C:\DOKUME~1\Baumi\LOKALE~1\Temp
30.12.2005 20:14 16.384 ~DF2E58.tmp
30.12.2005 19:47 16.384 ~DF5B61.tmp
2 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 126.375.952.384 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7
Verzeichnis von C:\WINDOWS
30.12.2005 20:23 6.104 ModemLog_Bluetooth DUN Modem.txt
30.12.2005 20:23 6.098 ModemLog_Bluetooth Fax Modem.txt
30.12.2005 20:23 0 0.log
30.12.2005 20:23 3.844 ModemLog_Agere Systems PCI Soft Modem.txt
30.12.2005 20:23 1.076.900 WindowsUpdate.log
30.12.2005 20:23 2.048 bootstat.dat
30.12.2005 20:22 32.622 SchedLgU.Txt
30.12.2005 13:44 282 system.ini
30.12.2005 12:47 3.584 uninstIU.exe
30.12.2005 12:47 1.430 warnhp.html
29.12.2005 01:16 83.684 1993.exe
26.12.2005 16:18 8.238 tool3.exe
26.12.2005 16:18 23.936 toolbar.exe
26.12.2005 16:17 32.256 tool2.exe
26.12.2005 16:17 0 uniq
24.12.2005 02:38 54.156 QTFont.qfn
22.10.2005 16:21 116 NeroDigital.ini
27.05.2005 00:22 10.752 hh.exe
30.04.2005 16:48 3.846 ModemLog_Creatix V.92 Data Fax Modem.txt
04.03.2005 11:01 88.209 AGRSMMSG.exe
28.02.2005 22:41 68.096 agrsmdel.exe
25.01.2005 13:51 1.409 QTFont.for
09.01.2005 20:40 705 tmp.hta
24.11.2004 19:36 309 Clony2.ini
17.11.2004 14:37 477 win.ini
17.11.2004 14:37 2 msoffice.ini
17.11.2004 14:17 2.490 ModemLog_Bluetooth LAP Modem #2.txt
17.11.2004 14:17 2.490 ModemLog_Bluetooth LAP Modem.txt
18.10.2004 00:12 134 WISO.INI
18.10.2004 00:12 231.424 fpuninst.exe
17.10.2004 23:32 400 ODBC.INI
13.10.2004 11:33 61 smscfg.ini
13.10.2004 10:39 892 orun32.ini
13.10.2004 09:49 316.640 WMSysPr9.prx
12.10.2004 12:34 228.159 orun32.isu
12.10.2004 10:22 25 cdplayer.ini
12.10.2004 09:06 8.192 REGLOCS.OLD
12.10.2004 09:04 335 nsreg.dat
12.10.2004 07:02 47 InoSetup.ini
11.10.2004 19:57 0 control.ini
11.10.2004 19:57 4.161 ODBCINST.INI
11.10.2004 19:56 749 WindowsShell.Manifest
11.10.2004 19:55 37 vbaddin.ini
11.10.2004 19:55 36 vb.ini
04.10.2004 14:10 148.630 UNNeroVision.cfg
28.09.2004 17:00 2.269.184 UNNeroVision.exe
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7
Verzeichnis von C:\
30.12.2005 21:13 0 sys.txt
30.12.2005 21:13 5.454 system.txt
30.12.2005 21:12 333 systemtemp.txt
30.12.2005 21:11 101.480 system32.txt
30.12.2005 20:23 536.399.872 hiberfil.sys
30.12.2005 20:23 805.306.368 pagefile.sys
30.12.2005 18:52 13.279 messanger.ini
21.12.2005 16:09 8.692.224 avwinsfx.exe
17.11.2004 14:09 211 boot.ini
22.10.2004 20:17 100 AUTOEXEC.BAT
12.10.2004 13:32 102 Platform.ini
12.10.2004 09:05 776 IPH.PH
11.10.2004 19:57 0 CONFIG.SYS
11.10.2004 19:57 0 IO.SYS
11.10.2004 19:57 0 MSDOS.SYS
- beavis
- Beiträge: 15
- Registriert: 30.12.2005, 21:16
von Holy Marcell am 30.12.2005, 22:25
Ich sehe einiges schon auf anhieb:
Info: http://virus-protect.net/artikel/spyware/secure_32.html
=============
Poste ein Log vom Silentrunner:
http://virus-protect.net/silentrunner.html
Info: http://virus-protect.net/artikel/spyware/secure_32.html
=============
Poste ein Log vom Silentrunner:
http://virus-protect.net/silentrunner.html
- Holy Marcell
von beavis am 30.12.2005, 22:38
meinst du dies hier ?
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AOLMIcon" = "C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe" [file not found]
"Shell" = ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"" [file not found]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite" = "HDAudPropShortcut.exe" ["Windows (R) Server 2003 DDK provider"]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"Dit" = "Dit.exe" ["ICSI Technology Ltd."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"Realtime Monitor" = "C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s" ["Computer Associates International, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"PCMService" = ""C:\Programme\Home Cinema\PowerCinema\PCMService.exe"" ["CyberLink Corp."]
"AnyDVD" = "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" ["SlySoft, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"CHotkey" = "mHotkey.exe" ["Chicony"]
"ledpointer" = "CNYHKey.exe" ["Chicony"]
"WinHound" = "C:\Programme\WinHound\WinHound.exe" [file not found]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"HostSrv" = "C:\WINDOWS\sachostx.exe" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{DCED20BE-3645-11D4-BC95-00C04F0E0588}" = "InoShell"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
Active Desktop web content:
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Warning homepage"
"Source" = "C:\WINDOWS\warnhp.html"
"SubscribedURL" = ""
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKCU\Software\Microsoft\Internet Explorer\Extensions\
{5CF0F1D2-1D22-499D-93A1-8126F28412F4}\
"ButtonText" = "MedionShop"
"Exec" = "http://www.medionshop.de/" [file not found]
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
{B205A35E-1FC4-4CE3-818B-899DBBB3388C}\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
Miscellaneous IE Hijack Points
------------------------------
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")
Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.aldi.com
Missing lines (compared with English-language version):
[Strings]: 1 line
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Ereignisprotokoll-Überwachung, LogWatch, "C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe" ["Computer Associates"]
eTrust Antivirus Job Server, InoTask, ""C:\Programme\CA\eTrust Antivirus\InoTask.exe"" ["Computer Associates International, Inc."]
eTrust Antivirus Realtime Server, InoRT, ""C:\Programme\CA\eTrust Antivirus\InoRT.exe"" ["Computer Associates International, Inc."]
eTrust Antivirus RPC Server, InoRPC, ""C:\Programme\CA\eTrust Antivirus\InoRpc.exe"" ["Computer Associates International, Inc."]
ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programme\ewido anti-malware\ewidoguard.exe" ["ewido networks"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
X10 Device Network Service, x10nets, "C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe" ["X10"]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 43 seconds, including 18 seconds for message boxes)
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AOLMIcon" = "C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe" [file not found]
"Shell" = ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"" [file not found]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite" = "HDAudPropShortcut.exe" ["Windows (R) Server 2003 DDK provider"]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"Dit" = "Dit.exe" ["ICSI Technology Ltd."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"Realtime Monitor" = "C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s" ["Computer Associates International, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"PCMService" = ""C:\Programme\Home Cinema\PowerCinema\PCMService.exe"" ["CyberLink Corp."]
"AnyDVD" = "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" ["SlySoft, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"CHotkey" = "mHotkey.exe" ["Chicony"]
"ledpointer" = "CNYHKey.exe" ["Chicony"]
"WinHound" = "C:\Programme\WinHound\WinHound.exe" [file not found]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"HostSrv" = "C:\WINDOWS\sachostx.exe" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{DCED20BE-3645-11D4-BC95-00C04F0E0588}" = "InoShell"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
Active Desktop web content:
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Warning homepage"
"Source" = "C:\WINDOWS\warnhp.html"
"SubscribedURL" = ""
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKCU\Software\Microsoft\Internet Explorer\Extensions\
{5CF0F1D2-1D22-499D-93A1-8126F28412F4}\
"ButtonText" = "MedionShop"
"Exec" = "http://www.medionshop.de/" [file not found]
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
{B205A35E-1FC4-4CE3-818B-899DBBB3388C}\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
Miscellaneous IE Hijack Points
------------------------------
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")
Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.aldi.com
Missing lines (compared with English-language version):
[Strings]: 1 line
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Ereignisprotokoll-Überwachung, LogWatch, "C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe" ["Computer Associates"]
eTrust Antivirus Job Server, InoTask, ""C:\Programme\CA\eTrust Antivirus\InoTask.exe"" ["Computer Associates International, Inc."]
eTrust Antivirus Realtime Server, InoRT, ""C:\Programme\CA\eTrust Antivirus\InoRT.exe"" ["Computer Associates International, Inc."]
eTrust Antivirus RPC Server, InoRPC, ""C:\Programme\CA\eTrust Antivirus\InoRpc.exe"" ["Computer Associates International, Inc."]
ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programme\ewido anti-malware\ewidoguard.exe" ["ewido networks"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
X10 Device Network Service, x10nets, "C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe" ["X10"]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 43 seconds, including 18 seconds for message boxes)
- beavis
- Beiträge: 15
- Registriert: 30.12.2005, 21:16
von Holy Marcell am 04.01.2006, 16:58
Hi,
ich hatte gehöfft, dass Nikita das übernimmt, da ich in Datfindbat noch nicht allzu fit bin
ich mache mal den Anfang:
==============================
Hijack This Starten ==> Button: Noone of the above just start the programm ==> Button Scan ==> Die Checkbox vor folgenden Einträgen Aktiviren ==> Button Fix Checked ==> Neustart
F2 - REG:system.ini: Shell=Explorer.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
==============================
Du hast Ewido und Antivir gleichzeitig laufen. Lasse Antivir weg, wenn du die EwidoSuite gekauft hast. Ansonsten mach Ewido aus.
ich hatte gehöfft, dass Nikita das übernimmt, da ich in Datfindbat noch nicht allzu fit bin
ich mache mal den Anfang:
==============================
Hijack This Starten ==> Button: Noone of the above just start the programm ==> Button Scan ==> Die Checkbox vor folgenden Einträgen Aktiviren ==> Button Fix Checked ==> Neustart
F2 - REG:system.ini: Shell=Explorer.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
==============================
Du hast Ewido und Antivir gleichzeitig laufen. Lasse Antivir weg, wenn du die EwidoSuite gekauft hast. Ansonsten mach Ewido aus.
- Holy Marcell
von Yourhighness am 04.01.2006, 20:45
Holy,
see in red.
Winhound:http://virus-protect.net/artikel/spyware/winhound.html
IBM00001: http://virus-protect.net/artikel/spyware/ibm00000.html
MfG,
see in red.
Winhound:http://virus-protect.net/artikel/spyware/winhound.html
IBM00001: http://virus-protect.net/artikel/spyware/ibm00000.html
MfG,
- Yourhighness
von beavis am 05.01.2006, 20:34
hallo leute,
erstmal danke für eure hilfe, aber irgendwie weiss ich noch nicht so richtig, was ich jetzt tun kann.
soll ich jetzt mittels der files/links programme downloaden, die dann das problem beheben ?
und was bedeuten die roten datensätze ?
komme irgendwie nicht weiter !
thanx 4 help !
beavis
erstmal danke für eure hilfe, aber irgendwie weiss ich noch nicht so richtig, was ich jetzt tun kann.
soll ich jetzt mittels der files/links programme downloaden, die dann das problem beheben ?
und was bedeuten die roten datensätze ?
komme irgendwie nicht weiter !
thanx 4 help !
beavis
- beavis
- Beiträge: 15
- Registriert: 30.12.2005, 21:16
von Yourhighness am 05.01.2006, 21:27
Hi!
Die Rotmarjierung ist von mir fuer Holy gewesen.
Die 2 Links waren als Referenz fuer Holy, aber auch fuer mich gedacht.
Mache bitte folgendes:
1 ) KILLBOX
Anleitung: (bebildert)
http://yourhighness.eddys-domain.de/killbox.html
- Delete File on Reboot -- anhaken
- reinkopieren:
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\sachosts.exe
C:\WINDOWS\system32\sachostc.exe
C:\WINDOWS\system32\sachostw.exe
C:\WINDOWS\system32\sachostp.exe
C:\WINDOWS\system32\vxgame3.exe
C:\WINDOWS\system32\vxgame2.exe
C:\WINDOWS\system32\vxgame1.exe
C:\WINDOWS\system32\vxh8jkdq2.exe
C:\WINDOWS\system32\sachostm.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\warnhp.html
C:\WINDOWS\1993.exe
C:\WINDOWS\tool3.exe
C:\WINDOWS\toolbar.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\uniq
2 ) Gehe in die Registry
Start-->Ausfuehren--> regedit
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Warning homepage" --loeschen
"Source" = "C:\WINDOWS\warnhp.html" --loeschen
3 ) smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread
4 ) Ewido
http://virus-protect.net/ewido.html
Bitte den Report hier posten
5 ) Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint
6 ) Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken.
* * * * *
Dann sehen wir weiter.
MfG,
Die Rotmarjierung ist von mir fuer Holy gewesen.
Die 2 Links waren als Referenz fuer Holy, aber auch fuer mich gedacht.
Mache bitte folgendes:
1 ) KILLBOX
Anleitung: (bebildert)
http://yourhighness.eddys-domain.de/killbox.html
- Delete File on Reboot -- anhaken
- reinkopieren:
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\sachosts.exe
C:\WINDOWS\system32\sachostc.exe
C:\WINDOWS\system32\sachostw.exe
C:\WINDOWS\system32\sachostp.exe
C:\WINDOWS\system32\vxgame3.exe
C:\WINDOWS\system32\vxgame2.exe
C:\WINDOWS\system32\vxgame1.exe
C:\WINDOWS\system32\vxh8jkdq2.exe
C:\WINDOWS\system32\sachostm.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\warnhp.html
C:\WINDOWS\1993.exe
C:\WINDOWS\tool3.exe
C:\WINDOWS\toolbar.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\uniq
2 ) Gehe in die Registry
Start-->Ausfuehren--> regedit
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Warning homepage" --loeschen
"Source" = "C:\WINDOWS\warnhp.html" --loeschen
3 ) smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread
4 ) Ewido
http://virus-protect.net/ewido.html
Bitte den Report hier posten
5 ) Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint
- Code: Alles auswählen
cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
notepad files.txt
6 ) Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
- Code: Alles auswählen
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
"NoComponents"=-
"NoAddingComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoHTMLWallpaper"=-
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken.
* * * * *
Dann sehen wir weiter.
MfG,
- Yourhighness
von beavis am 06.01.2006, 00:11
also hier die smitfiles.txt
smitRem © log file
version 2.8
by noahdfear
Microsoft Windows XP [Version 5.1.2600]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
checking for ShudderLTD key
ShudderLTD key not present!
checking for PSGuard.com key
PSGuard.com key not present!
checking for WinHound.com key
WinHound.com key present!
Running WinHound.com fix!
WinHound.com key was successfully removed!
spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Existing Pre-run Files
~~~ Program Files ~~~
Winhound
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
svcp.csv
winsub.xml
zlbw.dll
zlbw.dll
oleext.dll
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
uninstIU.exe
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1652 'explorer.exe'
Killing PID 1652 'explorer.exe'
Starting registry repairs
Deleting files
Remaining Post-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~ Wininet.dll ~~~
CLEAN!
smitRem © log file
version 2.8
by noahdfear
Microsoft Windows XP [Version 5.1.2600]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
checking for ShudderLTD key
ShudderLTD key not present!
checking for PSGuard.com key
PSGuard.com key not present!
checking for WinHound.com key
WinHound.com key present!
Running WinHound.com fix!
WinHound.com key was successfully removed!
spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Existing Pre-run Files
~~~ Program Files ~~~
Winhound
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
svcp.csv
winsub.xml
zlbw.dll
zlbw.dll
oleext.dll
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
uninstIU.exe
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1652 'explorer.exe'
Killing PID 1652 'explorer.exe'
Starting registry repairs
Deleting files
Remaining Post-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~ Wininet.dll ~~~
CLEAN!
- beavis
- Beiträge: 15
- Registriert: 30.12.2005, 21:16
von beavis am 06.01.2006, 00:23
---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------
+ Erstellt am: 23:45:01, 05.01.2006
+ Report-Checksumme: 101DDF4A
+ Scanergebnis:
C:\!KillBox\sachostc.exe -> Dropper.Agent.afj : Gesäubert mit Backup
C:\!KillBox\sachostp.exe -> Dropper.Agent.afj : Gesäubert mit Backup
C:\!KillBox\sachosts.exe -> Dropper.Agent.afj : Gesäubert mit Backup
C:\!KillBox\sachostw.exe -> Dropper.Agent.afj : Gesäubert mit Backup
C:\!KillBox\vxgame2.exe -> Trojan.Small : Gesäubert mit Backup
C:\!KillBox\vxgame3.exe -> Trojan.Agent.bu : Gesäubert mit Backup
C:\!KillBox\vxh8jkdq2.exe -> Not-A-Virus.Hoax.Win32.Renos.aj : Gesäubert mit Backup
C:\!KillBox\warnhp.html -> Hijacker.WallpaperChange : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Baumi\Cookies\baumi@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Baumi\Cookies\baumi@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
C:\WINDOWS\system32\msvcrl.dll -> Dropper.Agent.afj : Gesäubert mit Backup
::Report Ende
ewido anti-malware - Scan Report
---------------------------------------------------------
+ Erstellt am: 23:45:01, 05.01.2006
+ Report-Checksumme: 101DDF4A
+ Scanergebnis:
C:\!KillBox\sachostc.exe -> Dropper.Agent.afj : Gesäubert mit Backup
C:\!KillBox\sachostp.exe -> Dropper.Agent.afj : Gesäubert mit Backup
C:\!KillBox\sachosts.exe -> Dropper.Agent.afj : Gesäubert mit Backup
C:\!KillBox\sachostw.exe -> Dropper.Agent.afj : Gesäubert mit Backup
C:\!KillBox\vxgame2.exe -> Trojan.Small : Gesäubert mit Backup
C:\!KillBox\vxgame3.exe -> Trojan.Agent.bu : Gesäubert mit Backup
C:\!KillBox\vxh8jkdq2.exe -> Not-A-Virus.Hoax.Win32.Renos.aj : Gesäubert mit Backup
C:\!KillBox\warnhp.html -> Hijacker.WallpaperChange : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Baumi\Cookies\baumi@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Baumi\Cookies\baumi@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
C:\WINDOWS\system32\msvcrl.dll -> Dropper.Agent.afj : Gesäubert mit Backup
::Report Ende
- beavis
- Beiträge: 15
- Registriert: 30.12.2005, 21:16
von beavis am 06.01.2006, 00:32
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7
Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders
30.12.2005 16:17 <DIR> .
30.12.2005 16:17 <DIR> ..
18.10.2004 00:03 <DIR> 1031
17.10.2004 23:32 <DIR> 1033
29.01.2004 15:08 1.277.952 MSONSEXT.DLL
12.02.2001 23:23 58.784 MSOSV.DLL
20.03.1999 11:46 127.032 MSOWS407.DLL
05.06.1999 04:09 122.937 MSOWS409.DLL
06.08.2000 08:04 401.462 MSVCP60.DLL
29.01.2004 15:08 69.632 PKMAXCTL.DLL
29.01.2004 15:08 868.352 PKMCDO.DLL
29.01.2004 15:08 53.248 PKMCORE.DLL
29.01.2004 15:08 102.400 PKMFORMS.DLL
29.01.2004 15:37 638.976 PKMRES.DLL
29.01.2004 15:08 28.672 PKMSSTLB.DLL
22.01.2001 02:25 40.960 PKMTEMPL.DLL
29.01.2004 15:08 24.576 PKMTRACE.DLL
29.01.2004 15:08 86.016 PKMWS.DLL
29.01.2004 15:08 237.568 PROMDEMO.DLL
29.01.2004 15:08 184.320 SECMGR.DLL
29.01.2004 15:08 315.392 VAIDDMGR.DLL
29.01.2004 15:08 32.768 VAIMEM.DLL
30.12.2005 16:17 3.072 _ibm00003.exe
19 Datei(en) 4.674.119 Bytes
4 Verzeichnis(se), 126.351.314.944 Bytes frei
Volumeseriennummer: 083B-2EA7
Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders
30.12.2005 16:17 <DIR> .
30.12.2005 16:17 <DIR> ..
18.10.2004 00:03 <DIR> 1031
17.10.2004 23:32 <DIR> 1033
29.01.2004 15:08 1.277.952 MSONSEXT.DLL
12.02.2001 23:23 58.784 MSOSV.DLL
20.03.1999 11:46 127.032 MSOWS407.DLL
05.06.1999 04:09 122.937 MSOWS409.DLL
06.08.2000 08:04 401.462 MSVCP60.DLL
29.01.2004 15:08 69.632 PKMAXCTL.DLL
29.01.2004 15:08 868.352 PKMCDO.DLL
29.01.2004 15:08 53.248 PKMCORE.DLL
29.01.2004 15:08 102.400 PKMFORMS.DLL
29.01.2004 15:37 638.976 PKMRES.DLL
29.01.2004 15:08 28.672 PKMSSTLB.DLL
22.01.2001 02:25 40.960 PKMTEMPL.DLL
29.01.2004 15:08 24.576 PKMTRACE.DLL
29.01.2004 15:08 86.016 PKMWS.DLL
29.01.2004 15:08 237.568 PROMDEMO.DLL
29.01.2004 15:08 184.320 SECMGR.DLL
29.01.2004 15:08 315.392 VAIDDMGR.DLL
29.01.2004 15:08 32.768 VAIMEM.DLL
30.12.2005 16:17 3.072 _ibm00003.exe
19 Datei(en) 4.674.119 Bytes
4 Verzeichnis(se), 126.351.314.944 Bytes frei
- beavis
- Beiträge: 15
- Registriert: 30.12.2005, 21:16
von beavis am 06.01.2006, 00:36
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
"NoComponents"=-
"NoAddingComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoHTMLWallpaper"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
"NoComponents"=-
"NoAddingComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoHTMLWallpaper"=-
- beavis
- Beiträge: 15
- Registriert: 30.12.2005, 21:16
23 Beiträge • Seite 1 von 2 • 1, 2
Ähnliche Themen
| spyware: bitte HiJackThis Logfile und Panda Logfile ansehen Forum: Online- und PC-Sicherheit Autor: tovv Antworten: 11 |
HiJackThis Logfile bitte mal ansehen, Danke!!! Forum: Online- und PC-Sicherheit Autor: I_Robot Antworten: 2 |
LogFile bitte ansehen Forum: Online- und PC-Sicherheit Autor: Brigadier Antworten: 12 |
Hijackthis-Log bitte ansehen Forum: Online- und PC-Sicherheit Autor: TwilightWarrior Antworten: 3 |
HIJACKTHIS Log bitte mal ansehen!!! Forum: Online- und PC-Sicherheit Autor: JTW Antworten: 1 |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste