Informationsarchiv.net > Foren-Übersicht > Computerprobleme > Online- und PC-Sicherheit
Warum kostenlos registrieren?

Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.

Login


Bitte um Hilfe ....TR/Agent.RI

Warnungen vor Sicherheitslücken und Hilfe beim Enfernen von Viren, Würmern und Trojanern.
Antwort erstellen

Bitte um Hilfe ....TR/Agent.RI

Beitragvon JeanBarth am 16.07.2006, 21:33

Habe den Virus schon seit einigen Tagen....mein Antivirusprogramm erkannt zwar und löscht den Virus immer wieder, doch beim nächsten neustart ist er wieder da.

Könnte mir da jemand helfen?

Vielen Dank.

Logfile of HijackThis v1.99.1
Scan saved at 21:30:41, on 16.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Gvozden\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sportskacentrala.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{5D9D6E25-FF45-44C1-9A9B-D2B431D6BB35}.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{5D9D6E25-FF45-44C1-9A9B-D2B431D6BB35}.dll (file missing)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [dmcev.exe] C:\WINDOWS\System32\dmcev.exe
O4 - HKLM\..\Run: [mmsjg.exe] C:\WINDOWS\System32\mmsjg.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... 0-3-24.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://216.194.228.21/camera/AxisCamControl.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DAE9080-097C-46AF-8DC6-11553C959F3A}: NameServer = 85.255.114.88,85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4E66D1A-D94B-4F8C-8B2C-E02EA1A42181}: NameServer = 85.255.114.88,85.255.112.72
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.88 85.255.112.72
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.88 85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.88 85.255.112.72
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
JeanBarth
 
Beiträge: 27
Registriert: 04.05.2005, 23:11
Nach oben

Beitragvon gipsy111 am 16.07.2006, 23:52

Hi,

arbeite dies ab!!

1.
Cleanup
stelle den CleanUp genauso ein, wie hier angegeben: (+ PC neustarten)
http://virus-protect.org/cleanup.html

2.
Datfindbat
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Download FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> poste das log

4.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
poste den scanreport
gipsy111
Moderator
 
Beiträge: 1608
Registriert: 26.12.2005, 18:02
Wohnort: Baden - Württemberg
Nach oben

Beitragvon Nikita am 17.07.2006, 14:41

die Internetverbindung wird auf einen ukrainischen Server umgeleitet...die verseuchung ist schwer zu loeschen.
Wenn du formatieren willst, so tue es, wenn nicht, stelle dich auf eine komplizierte Reinigung ein.
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Hallo Nikita

Beitragvon JeanBarth am 17.07.2006, 15:31

kann ich erstmal das oben angegebene versuchen?

Was heisst das auf einen ukrainischen Server umgeleitet.
Entstehen dadurch eventuell zusätzliche kosten?

Danke
JeanBarth
 
Beiträge: 27
Registriert: 04.05.2005, 23:11
Nach oben

Beitragvon Nikita am 17.07.2006, 15:42

arbeite ab, was gipsy geschrieben hat.
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Hallo Gipsy

Beitragvon JeanBarth am 17.07.2006, 20:30

Cleanup brach nach kurzer Laufzeit immer wieder ab.....habe trotzdem neu gestartet und deine Anweisungen befolgt.


1.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6453-DFB6

Verzeichnis von C:\WINDOWS\system32

17.07.2006 20:09 48.882 vsconfig.xml
08.07.2006 16:02 4.212 zllictbl.dat
03.07.2006 20:24 57.384 avsda.dll
02.07.2006 20:20 12.598 wpa.dbl
18.06.2006 17:54 394.872 vsdatant.sys
18.06.2006 17:54 71.672 zlcommdb.dll
18.06.2006 17:54 83.960 zlcomm.dll
18.06.2006 17:54 59.384 vswmi.dll
18.06.2006 17:54 100.344 vsxml.dll
18.06.2006 17:54 71.672 vsregexp.dll
18.06.2006 17:54 440.312 vsutil.dll
18.06.2006 17:54 268.280 vspubapi.dll
18.06.2006 17:54 157.688 vsinit.dll
18.06.2006 17:54 104.440 vsmonapi.dll
18.06.2006 17:54 83.960 vsdata.dll
18.06.2006 17:54 796.584 libeay32_0.9.6l.dll
22.05.2006 18:38 140.440 FNTCACHE.DAT
28.03.2006 20:54 176.167 rmoc3260.dll
28.03.2006 20:54 6.656 pndx5016.dll
28.03.2006 20:54 5.632 pndx5032.dll
28.03.2006 20:54 278.528 pncrt.dll
26.03.2006 14:18 311.604 perfh009.dat
26.03.2006 14:18 39.992 perfc009.dat
26.03.2006 14:18 316.594 perfh007.dat
26.03.2006 14:18 48.156 perfc007.dat

2.
Verzeichnis von C:\DOKUME~1\Gvozden\LOKALE~1\Temp

17.07.2006 20:19 14.153 jusched.log
17.07.2006 20:09 447 lsj1.tmp
17.07.2006 19:39 447 mlv3.tmp
17.07.2006 19:36 16.384 ~DF4BE3.tmp
17.07.2006 19:36 16.384 Perflib_Perfdata_310.dat
17.07.2006 19:36 31.887 4C2FE.dmp
17.07.2006 19:36 447 uqw2.tmp
17.07.2006 19:36 0 WER24.tmp
17.07.2006 15:24 447 gox1.tmp
16.07.2006 21:23 447 dlv2.tmp
16.07.2006 11:54 16.384 ~DF2FD4.tmp
16.07.2006 11:54 16.384 Perflib_Perfdata_220.dat
16.07.2006 11:54 447 cri2.tmp
16.07.2006 11:17 16.384 ~DF5FC8.tmp
16.07.2006 11:17 447 knk2.tmp
15.07.2006 20:13 0 WER26.tmp
15.07.2006 20:08 447 quv2.tmp
15.07.2006 16:11 0 WER31.tmp
15.07.2006 16:09 0 WER2F.tmp
15.07.2006 16:08 0 WER2E.tmp
15.07.2006 16:08 0 WER2D.tmp
15.07.2006 16:07 0 WER2C.tmp
15.07.2006 15:25 16.384 Perflib_Perfdata_720.dat
15.07.2006 15:24 447 vlx3.tmp
15.07.2006 15:17 30.611 58A65.dmp
15.07.2006 15:17 447 sec3.tmp
15.07.2006 15:17 0 WER21.tmp
15.07.2006 15:08 0 WER23.tmp
15.07.2006 15:07 0 WER22.tmp
15.07.2006 14:31 0 WER20.tmp
14.07.2006 10:29 2.226 java_install_reg.log
14.07.2006 09:48 0 WER1F.tmp
14.07.2006 00:02 16.384 ~DFC8D2.tmp
13.07.2006 12:37 0 WER1E.tmp
13.07.2006 12:37 0 WER1C.tmp
13.07.2006 12:36 0 WER1B.tmp
12.07.2006 01:43 4.592 SIntfIcn.ani
12.07.2006 01:43 24.516 SIntfNT.dll
12.07.2006 01:43 19.924 SIntf32.dll
12.07.2006 01:43 12.067 SIntf16.dll
12.07.2006 01:43 36.864 CmdLineExt02.dll
11.07.2006 12:28 0 WER1D.tmp
11.07.2006 12:15 0 WER1A.tmp
11.07.2006 12:15 0 WER19.tmp
11.07.2006 12:15 0 WER18.tmp
11.07.2006 12:14 0 WER17.tmp
11.07.2006 12:14 0 WER16.tmp
11.07.2006 01:01 426 Acr8.tmp
09.07.2006 18:48 0 WER15.tmp
09.07.2006 18:48 0 WER14.tmp
09.07.2006 18:48 0 WER13.tmp
09.07.2006 18:47 0 WERC.tmp
09.07.2006 18:46 0 WERB.tmp
09.07.2006 17:08 0 WER12.tmp
09.07.2006 17:08 0 WER11.tmp
09.07.2006 17:08 0 WER10.tmp
09.07.2006 17:07 0 WERF.tmp
09.07.2006 17:07 0 WERE.tmp
09.07.2006 17:07 0 WERD.tmp
09.07.2006 16:52 0 WERA.tmp
09.07.2006 16:52 0 WER9.tmp
09.07.2006 16:52 0 WER8.tmp
09.07.2006 16:51 0 WER7.tmp
09.07.2006 15:11 0 WER6.tmp
09.07.2006 15:11 0 WER3.tmp
08.07.2006 09:56 618 MSI54dfd.LOG
08.07.2006 09:54 42 ActivePerlInstall.log
08.07.2006 09:34 16.384 ~DF423C.tmp
07.07.2006 15:23 16.384 ~DF105C.tmp
06.07.2006 14:17 16.384 ~DFC381.tmp
06.07.2006 00:07 16.384 ~DFCC84.tmp
05.07.2006 21:55 16.384 ~DFDBD6.tmp
05.07.2006 21:50 27.604 ~WRS0564.tmp
05.07.2006 21:50 512 ~DFB6C.tmp
05.07.2006 21:50 512 ~DFB8C.tmp
05.07.2006 21:50 512 ~DFBC2.tmp
05.07.2006 21:04 512 ~DF4.tmp
05.07.2006 20:43 512 ~DF8BF5.tmp
03.07.2006 22:05 717 control.xml
03.07.2006 20:40 512 ~DFCDE0.tmp
03.07.2006 20:19 512 ~DF3C7.tmp
02.07.2006 20:30 939 jupdate1.5.0.xml
02.07.2006 20:21 21.176 depirates.bmp
17.06.2006 13:22 16.384 ~DF3651.tmp
15.06.2006 13:46 16.384 ~DF432B.tmp
13.06.2006 14:13 16.384 ~DFE7F4.tmp
12.06.2006 01:14 16.384 ~DFE02B.tmp
12.06.2006 01:08 512 ~DFC5B5.tmp
12.06.2006 01:08 512 ~DFC569.tmp
12.06.2006 00:47 512 ~DF3F9A.tmp
12.06.2006 00:16 512 ~DF6E53.tmp
12.06.2006 00:16 512 ~DF6E30.tmp
12.06.2006 00:10 512 ~DF5A21.tmp
12.06.2006 00:01 512 ~DF3C80.tmp
12.06.2006 00:01 42.578 ~WRS1741.tmp
11.06.2006 23:47 512 ~DFF112.tmp
11.06.2006 23:47 512 ~DFF0B9.tmp
11.06.2006 23:30 512 ~DF9524.tmp
11.06.2006 23:18 16.384 ~DF18D7.tmp
11.06.2006 23:18 16.384 Perflib_Perfdata_748.dat
08.06.2006 23:22 1.980 A.tmp
08.06.2006 23:04 1.980 7.tmp
07.06.2006 20:48 1.980 5.tmp
03.06.2006 14:18 374 RN3.htm
02.06.2006 00:28 182.272 temp.exe
01.06.2006 23:07 0 WER5.tmp
01.06.2006 22:49 14.136 deswatch.bmp
01.06.2006 10:42 21.176 deadidas.bmp
01.06.2006 10:42 8.118 peanuts.bmp
01.06.2006 10:42 8.118 doodle.bmp
28.05.2006 21:35 32.768 ~DF569A.tmp
28.05.2006 21:12 32.768 ~DF7AB8.tmp
28.05.2006 21:08 32.768 ~DFBD65.tmp
28.05.2006 21:02 32.768 ~DF67C9.tmp
28.05.2006 21:01 32.768 ~DF28BC.tmp
28.05.2006 20:53 32.768 ~DF7DAF.tmp
28.05.2006 20:48 32.768 ~DFEBCC.tmp
28.05.2006 20:47 32.768 ~DF8BFE.tmp
28.05.2006 20:46 32.768 ~DF5C29.tmp
28.05.2006 20:44 32.768 ~DFE3AC.tmp
26.05.2006 12:26 0 SPEEnc.Dup
25.05.2006 21:24 32.768 ~DFBC71.tmp
25.05.2006 21:24 32.768 ~DF859F.tmp
25.05.2006 18:32 489 wecerr.txt
25.05.2006 17:04 25.600 mso177.xls
24.05.2006 15:24 16.384 ~DFC22.tmp
24.05.2006 07:35 16.384 ~DF7492.tmp
22.05.2006 19:08 0 WER2B.tmp
22.05.2006 18:40 1.217 Outlook Startup.Log
22.05.2006 11:58 1.004 Outlook Startup.BAK
22.05.2006 11:58 290.128 Office 2000 Premium Setup(0002)_MsiExec.txt
22.05.2006 11:46 41.122 offcln9.log
22.05.2006 11:46 1.636 Office 2000 Premium Setup(0002).txt
18.05.2006 19:10 16.384 ~DF433E.tmp
18.05.2006 12:43 0 WER4.tmp
18.05.2006 12:07 16.384 ~DF3BFF.tmp
12.05.2006 14:01 16.384 ~WRF0000.tmp
10.05.2006 09:28 16.384 ~DFA0CA.tmp
08.05.2006 20:52 88.698.438 fla8.tmp
01.05.2006 12:01 16.384 ~DF7F9E.tmp
30.04.2006 15:16 16.384 ~DF11FE.tmp

3.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6453-DFB6

Verzeichnis von C:\WINDOWS

17.07.2006 20:14 318.031 WindowsUpdate.log
17.07.2006 20:08 0 0.log
17.07.2006 20:07 2.048 bootstat.dat
17.07.2006 20:06 32.606 SchedLgU.Txt
15.07.2006 15:17 6.400 balloon.wav
13.07.2006 01:05 485 cdPlayer.ini
03.07.2006 22:06 298.936 wmsetup.log
03.07.2006 22:06 758 win.ini
03.06.2006 16:03 343.703 Directx.log
03.06.2006 15:53 744.612 setupapi.log
03.06.2006 15:52 1.584 KB839643-DirectX9Uninst.log
28.05.2006 21:32 494 wmsetup10.log
27.05.2006 23:29 0 MEMORY.DMP
22.05.2006 11:58 403 ODBC.INI
22.05.2006 11:58 59 vbaddin.ini
30.04.2006 15:56 75 WORT.INI
19.04.2006 17:58 247.296 UN160407.EXE
12.04.2006 16:04 216 wiadebug.log
12.04.2006 15:29 50 wiaservc.log
10.04.2006 22:49 95 winamp.ini
12.02.2006 19:17 227 system.ini

4.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6453-DFB6

Verzeichnis von C:\

17.07.2006 20:30 0 sys.txt
17.07.2006 20:30 10.789 system.txt
17.07.2006 20:30 7.238 systemtemp.txt
17.07.2006 20:29 102.174 system32.txt
17.07.2006 20:07 805.306.368 pagefile.sys
07.05.2006 18:27 1.245 Wizard.log
12.02.2006 19:17 211 boot.ini
JeanBarth
 
Beiträge: 27
Registriert: 04.05.2005, 23:11
Nach oben

Der nächste Schritt...

Beitragvon JeanBarth am 17.07.2006, 20:46

Fixwareout

Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EAC896A971CE-8C78-0C84-F006-2B73189A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B1225ED7FFF9-BA8A-F314-8708-8A7CEFC5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C2853F694508-75DB-FD04-EE41-93A88511{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1FDFFE56BF6B-F8F8-7064-B203-405EBD6C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}723E8F0AE541-BBDA-9D94-ACBA-7BD2A1D3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BF38DFE083D0-C90A-3FF4-A8FE-1E491196{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E6DEF0FF0A4D-921A-03C4-710E-CB4C510F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EA0A46D5452E-0148-5374-5C49-E9D56289{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8DDD6E99D0B3-C64B-C8F4-CEA9-7FAD11DD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E0493A80EBF8-F778-73A4-0454-205953BB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}09BCCF09099F-C519-1D94-A94D-EE0F03A0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}650E394B6F13-C3DA-15A4-6D25-3E229534{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ED8C7EE94D41-833B-A934-DE30-78F81768{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}94B99FF06292-EC5A-FB04-B69B-054D7A92{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C5A1142FB697-0F3A-8664-246E-8DF17BA4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3395098C6246-148B-7114-E91F-1FB530C9{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2A6C32428E31-5ED9-8734-E819-34931D95{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8511977C5687-D80B-3D64-2490-6383FA3E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3F6C0FFE3C6C-C448-9554-3876-C9B77FA9{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}77302AFE1D36-0789-3094-36E4-8D218E66{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D4FFEC5B2CD4-2149-DF04-4EC1-41D6E281{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}96E168CACD71-4E8A-1444-CFED-9446D71B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C97CC8F73562-7678-6A14-B197-D54AD332{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2216AB946E5D-B498-2664-5F51-1C50F0A7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0D1397BBF541-C948-5964-D235-30CFCE06{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}18686D04EE24-CD5A-9184-8F47-0883B28B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}59744A3B19E5-7AEA-5244-960B-9CD11DB7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6E3F1908B889-2649-85B4-4E65-DF0C411E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F7962F26130F-DCBB-7514-633D-D87D45CB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A18044935D61-A03B-8774-656C-EF9D03F6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\htwmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C1AD9545B2E3-10F9-A644-7F03-5239F6F6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4E99EC9FEEDC-A489-98D4-AA3F-C4D839B0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}14D176181218-804A-30C4-E42E-F70D2872{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
...

Random Runs removed from HKLM
"dmwth.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSWTY.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSWTY.EXE 51.292 2006-07-15
C:\WINDOWS\SYSTEM32\DMWTH.EXE 62.025 2003-04-02
Other suspects
Directory of C:\WINDOWS\system32
{C6DBE504-302B-4607-8F8F-B6FB65EFFDF1}.exe


-




Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSWTY.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSWTY.EXE 51.292 2006-07-15
C:\WINDOWS\SYSTEM32\DMWTH.EXE 62.025 2003-04-02
Other suspects
Directory of C:\WINDOWS\system32
{C6DBE504-302B-4607-8F8F-B6FB65EFFDF1}.exe
JeanBarth
 
Beiträge: 27
Registriert: 04.05.2005, 23:11
Nach oben

Beitragvon JeanBarth am 17.07.2006, 21:54

f-secure-Beta Trial


dieses programm fand bei mir 2 versteckte items.

Konnte den Scanreport aber irgendwie nicht kopieren und posten.
JeanBarth
 
Beiträge: 27
Registriert: 04.05.2005, 23:11
Nach oben

[color=blue]BITTE kann mir jemand weiterhelfen?[/color]

Beitragvon JeanBarth am 19.07.2006, 19:54

Kann mein PC noch gerettet werden?.............
JeanBarth
 
Beiträge: 27
Registriert: 04.05.2005, 23:11
Nach oben

Beitragvon Nikita am 20.07.2006, 13:38

1.
TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

2.
Pocket KillBox
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .
C:\WINDOWS\balloon.wav
C:\WINDOWS\System32\CSWTY.EXE
C:\WINDOWS\SYSTEM32\DMWTH.EXE
C:\WINDOWS\system32\{C6DBE504-302B-4607-8F8F-B6FB65EFFDF1}.exe


PC neustarten

3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{5D9D6E25-FF45-44C1-9A9B-D2B431D6BB35}.dll (file missing)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{5D9D6E25-FF45-44C1-9A9B-D2B431D6BB35}.dll (file missing)

O4 - HKLM\..\Run: [dmcev.exe] C:\WINDOWS\System32\dmcev.exe
O4 - HKLM\..\Run: [mmsjg.exe] C:\WINDOWS\System32\mmsjg.exe


O17 - HKLM\System\CCS\Services\Tcpip\..\{6DAE9080-097C-46AF-8DC6-11553C959F3A}: NameServer = 85.255.114.88,85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4E66D1A-D94B-4F8C-8B2C-E02EA1A42181}: NameServer = 85.255.114.88,85.255.112.72
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.88 85.255.112.72
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.88 85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.88 85.255.112.72


PC neustarten

**
4.
poste das neue Log vom HijackThis
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Hallo Nikita

Beitragvon JeanBarth am 20.07.2006, 16:16

Danke für deine Hilfe.

Zu Tune 2006


TuneUp Diskcleaner : drive D hatt alles geklappt.

drive C zeigte mir nach ungefähr 1/3 der Prüfung folgendem Fehler Zugriffsverletzung bei ADR. 016956B4.Lesen von ADR. 3B363038
Danach musste ich abrechen.

Registry Cleaner : komplett geprüft und gelöscht

Werde deine Punkte nun weiter abarbeiten.


Danke
JeanBarth
 
Beiträge: 27
Registriert: 04.05.2005, 23:11
Nach oben

.....

Beitragvon JeanBarth am 20.07.2006, 21:13

Hallo nochmal ,


Pocket KillBox : erledigt


Zu Hijackthis

die unten angegebenen Einträge sind bei mir gar nicht vorhanden.


O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{5D9D6E25-FF45-44C1-9A9B-D2B431D6BB35}.dll (file missing)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{5D9D6E25-FF45-44C1-9A9B-D2B431D6BB35}.dll (file missing)

O4 - HKLM\..\Run: [dmcev.exe] C:\WINDOWS\System32\dmcev.exe
O4 - HKLM\..\Run: [mmsjg.exe] C:\WINDOWS\System32\mmsjg.exe




Punkte 017 sind vorhanden.

O17 - HKLM\System\CCS\Services\Tcpip\..\{6DAE9080-097C-46AF-8DC6-11553C959F3A}: NameServer = 85.255.114.88,85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4E66D1A-D94B-4F8C-8B2C-E02EA1A42181}: NameServer = 85.255.114.88,85.255.112.72
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.88 85.255.112.72
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.88 85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.88 85.255.112.72





Was soll ich nun machen?

Einfach nur Häkchen setzten bei den Einträgen die bei mir vorhanden sind ?


Danke
JeanBarth
 
Beiträge: 27
Registriert: 04.05.2005, 23:11
Nach oben

Beitragvon Nikita am 21.07.2006, 10:42

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O17 - HKLM\System\CCS\Services\Tcpip\..\{6DAE9080-097C-46AF-8DC6-11553C959F3A}: NameServer = 85.255.114.88,85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4E66D1A-D94B-4F8C-8B2C-E02EA1A42181}: NameServer = 85.255.114.88,85.255.112.72
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.88 85.255.112.72
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.88 85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.88 85.255.112.72


PC neustarten, dann poste das neue Log vom HijackThis

-------------------------------------------------------------------------------------------------------------

die 017-Eintrage bedeuten, dass deine Internetverbindung auf einen Ukrainischen server umgeleitet wird......

% Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

Tracing route to 85.255.114.88 [85.255.114.88]...
hop rtt rtt rtt ip address fully qualified domain name
1 0 0 0 70.84.211.97 61.d3.5446.static.theplanet.com
2 0 0 0 70.84.160.161 vl2.dsr01.dllstx5.theplanet.com
3 0 0 0 70.85.127.105 po51.dsr01.dllstx3.theplanet.com
4 0 0 0 70.85.127.5 5.7f.5546.static.theplanet.com
5 0 0 0 63.218.23.25 ge5-3.br02.dal01.pccwbtn.net
6 33 33 33 63.216.31.130 wvfiber.ge2-6.br01.atl01.pccwbtn.net
7 51 51 51 63.223.0.82 dal-c00-pos4-0.oc48.atl-c00-pos-1-14-1.wvfiber.net
8 81 81 81 63.223.0.85 law-c00-pos.oc48.dal-c00-pos5-0.wvfiber.net
9 82 82 82 63.223.0.177 sjc-c00-pos-1-6-1.oc48-lax-c00-pos-1-36-1.wvfiber.net
10 81 81 81 63.223.30.29 sfc-c00-ge-5-0.ge-sjc-c00-gbe-1-5-8.wvfiber.net
11 65 66 65 63.223.30.130 sfc-b1-00-ve24-ctr-atrivo.wvfiber.net
12 65 65 66 85.255.114.88
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Hallo Nikita ,

Beitragvon JeanBarth am 21.07.2006, 15:05

Logfile of HijackThis v1.99.1
Scan saved at 15:02:00, on 21.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Gvozden\Lokale Einstellungen\Temp\Temporäres Verzeichnis 8 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sportskacentrala.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [dmsij.exe] C:\WINDOWS\System32\dmsij.exe
O4 - HKLM\..\Run: [qsucs.exe] C:\WINDOWS\System32\qsucs.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... 0-3-24.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://216.194.228.21/camera/AxisCamControl.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DAE9080-097C-46AF-8DC6-11553C959F3A}: NameServer = 85.255.114.88,85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4E66D1A-D94B-4F8C-8B2C-E02EA1A42181}: NameServer = 85.255.114.88,85.255.112.72
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.88 85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.88 85.255.112.72
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Gruß
JeanBarth
 
Beiträge: 27
Registriert: 04.05.2005, 23:11
Nach oben

Beitragvon Nikita am 21.07.2006, 15:35

1.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei - hier posten

2.
poste das log von winpfind
http://virus-protect.org/winpfind.html
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben
Nächste
Antwort erstellen

Ähnliche Themen

HILFE ALLE MEINE ORDNERBERECHTIGUNG SIND WEG HILFE BITTE
Forum: Hardware-Hilfe
Autor: Anonymous
Antworten:
Hilfe zu SpamNet von Cloudmark
Forum: Software-Hilfe
Autor: Anonymous
Antworten:
HILFE, mein Laptop ist und bleibt im Standy-Modus!
Forum: Hardware-Hilfe
Autor: anitram
Antworten:
Bluescreen-Hilfe
Forum: Hardware-Hilfe
Autor: Anonymous
Antworten:
brauche BITTE mal ganz dringend hilfe!!!
Forum: Software-Hilfe
Autor: blue-sky
Antworten:
Nach oben

Zurück zu Online- und PC-Sicherheit

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO