Seid einigen Tagen werden von meinem Antivir folgende Viren erkannt:
TR/Agent.QB.38
TR/Dldr.Agent.UJ.210
Habe versucht nach den Viren zu googlen, leider hatte ich keinen Erfolg ausser der Informationsseite von Antivir Updates konnte ich nichts finden, auch zur Bereinigung des Virus konnte ich keine genaueren Informationen ergattern.
Da ich auch keine auffälligen Aktivitäten in meinem Taskmanager beobachten konnte, suche ich nun hier Rat.
Um welchen Virus handelt es sich und wie kann ich ihn bekämpfen? Danke
Hijack Log:
Logfile of HijackThis v1.99.1
Scan saved at 20:08:27, on 15.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
E:\Programme\ABIT\ABIT uGuru\uGuru.exe
D:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
E:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\WINDOWS\system32\RunDLL32.exe
D:\WINDOWS\system32\ctfmon.exe
E:\Programme\ABIT\ABIT uGuru\uGuru_Event_Receiver.exe
E:\Programme\ABIT\ABIT uGuru\ABITEQ.exe
D:\WINDOWS\system32\gearsec.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Internet Explorer\iexplore.exe
G:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ABIT uGuru] E:\Programme\ABIT\ABIT uGuru\uGuru.exe
O4 - HKLM\..\Run: [NVMixerTray] "D:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [YeppStudioAgent] D:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "E:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2480906437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 2203521906
O17 - HKLM\System\CCS\Services\Tcpip\..\{00BDE808-2188-49AE-AE96-03DA21A2DDAD}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\..\{365AE4A4-A404-4386-97DF-2B30ADF96C16}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\..\{00BDE808-2188-49AE-AE96-03DA21A2DDAD}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
O17 - HKLM\System\CS2\Services\Tcpip\..\{00BDE808-2188-49AE-AE96-03DA21A2DDAD}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: gearsec - GEAR Software - D:\WINDOWS\system32\gearsec.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
PS:
Mein Adaware läuft nichtmehr, dies bemerkte ich schon vor einigen Tagen, sobald er die localmachine Registrierungseinträge abfragen will hängt sich der Computer auf.
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Virenbefall besonderer Art
30 Beiträge • Seite 1 von 2 • 1, 2
von Nikita am 17.08.2006, 13:21
deine Internetverbidug wird auf einen Server in die Ukraine umgeleitet.... die Host ist auch infiziert...
http://virus-protect.org/artikel/spywar ... clean.html
http://virus-protect.org/artikel/spywar ... emove.html
0.
poste den report
http://virus-protect.org/artikel/tools/fixwareout.html
1.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei
poste den report
2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html
3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
http://virus-protect.org/artikel/spywar ... clean.html
http://virus-protect.org/artikel/spywar ... emove.html
0.
poste den report
http://virus-protect.org/artikel/tools/fixwareout.html
1.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei
poste den report
2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html
3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von alexschott am 18.08.2006, 11:10
0.
Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}982987F25417-DEC9-A904-03E8-4FA9ABB2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ABF8E847ED6B-F1FA-A254-CDAF-BD7479F5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7856EDB0A7A0-A858-E9B4-81CB-BEDE857A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C10C0CB62DC1-2988-E054-89CC-DB4DF6E6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4CD2F14F4B0A-E92B-2124-01AF-20D6BFBF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}660628B5FA45-BA4A-8704-6A49-75881D37{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}101DA19142F3-1B8A-C4C4-A318-C20EE213{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A3393E8892E2-4508-F024-3488-0DDB45DB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1C87541A3825-AC48-06F4-001E-DE189E02{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8715AAD8241B-676B-6554-8830-C542AF7F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}007F10DE6D97-899B-5294-B8EC-FCDAB2B2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5759B05A3A84-7A4B-D0C4-50D0-28C888AF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8DB057855F3C-2F8B-2E04-8ABD-514EEE7D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}84126D021C96-22F9-2844-6351-437DF153{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}85BF3630246D-C768-C5B4-8A5B-DB4A83F0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A24F94F30963-ED68-A094-4557-F476FEC1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}931791245E07-71FA-7D84-4676-38F93526{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}675AD77C752B-396A-E424-BCDB-E65347BB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2EB434F93F40-2249-6FD4-0EBC-581ECCBC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}089E8D236019-F679-C224-85FE-B4DA739A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}93E81605D5A4-721A-EF24-CEBF-F046D9F1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}42A4509C8467-16D9-AF04-8BFA-91980F5E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7469768D0EE3-A1FB-0A44-1155-82DBDE4A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9CEFE1406ED9-9ACA-08C4-39A6-CDB70F8A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D9E4C4D00321-8A9B-9FC4-F359-79B60251{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}76786AAFF357-01AB-6844-1399-9F7025DA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4330E31A859C-7F5B-3EF4-5B49-75F3129E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E205E1CE00D3-152A-DC84-48B6-501D7C0B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}59234277A17F-9E6B-A024-F5A1-231BB539{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6833849EE753-EDBB-FF04-B15A-493286BE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\wvxmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...
Random Runs removed from HKLM
...
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»» Searching by size/names...
»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
Other suspects.
Directory of D:\WINDOWS\system32
»»»»» Misc files.
»»»»» Checking for older varients covered by the Rem3 tool.
4.
Datentr„ger in Laufwerk D: ist System
Volumeseriennummer: 3C70-9FEE
Verzeichnis von D:\WINDOWS\system32
18.08.2006 11:15 63.146 nvapps.xml
18.08.2006 10:16 13.646 wpa.dbl
17.08.2006 10:10 43.520 CmdLineExt03.dll
12.08.2006 01:19 21.840 SIntfNT.dll
12.08.2006 01:19 17.212 SIntf32.dll
12.08.2006 01:19 12.067 SIntf16.dll
03.08.2006 15:45 31.369 xvid-uninstall.exe
10.06.2006 19:30 57.384 avsda.dll
01.06.2006 19:09 208.896 nvusmb.exe
01.06.2006 19:09 208.896 nvunrm.exe
01.06.2006 19:09 208.896 NVUNINST.EXE
01.06.2006 19:09 208.896 nvuide.exe
01.06.2006 19:09 208.896 nvuaudio.exe
01.06.2006 19:09 208.896 nvudisp.exe
01.06.2006 17:22 1.339.392 nvdspsch.exe
01.06.2006 17:22 311.296 nvexpbar.dll
01.06.2006 17:22 5.246.976 nvdispsr.dll
01.06.2006 17:22 3.100.672 nvgames.dll
01.06.2006 17:22 2.916.352 nvgamesr.dll
01.06.2006 17:22 581.632 nvhwvid.dll
01.06.2006 17:22 1.466.368 nview.dll
01.06.2006 17:22 5.652.480 nvdisps.dll
01.06.2006 17:22 16.960 nvdisp.nvu
01.06.2006 17:22 1.011.712 nvcpluir.dll
01.06.2006 17:22 229.376 nvmccs.dll
01.06.2006 17:22 45.056 nvmccsrs.dll
01.06.2006 17:22 188.416 nvmccss.dll
01.06.2006 17:22 462.848 nvmccssr.dll
01.06.2006 17:22 794.624 nvcplui.exe
01.06.2006 17:22 86.016 nvmctray.dll
01.06.2006 17:22 888.832 nvmobls.dll
01.06.2006 17:22 2.859.008 nvmoblsr.dll
01.06.2006 17:22 286.720 nvnt4cpl.dll
01.06.2006 17:22 5.632.000 nvoglnt.dll
01.06.2006 17:22 327.680 nvrsar.dll
01.06.2006 17:22 245.760 nvrscs.dll
01.06.2006 17:22 253.952 nvrsda.dll
01.06.2006 17:22 278.528 nvrsde.dll
01.06.2006 17:22 282.624 nvrsel.dll
01.06.2006 17:22 245.760 nvrseng.dll
01.06.2006 17:22 282.624 nvrses.dll
01.06.2006 17:22 274.432 nvrsesm.dll
01.06.2006 17:22 249.856 nvrsfi.dll
01.06.2006 17:22 282.624 nvrsfr.dll
01.06.2006 17:22 327.680 nvrshe.dll
01.06.2006 17:22 282.624 nvrsit.dll
01.06.2006 17:22 266.240 nvrsja.dll
01.06.2006 17:22 262.144 nvrsko.dll
01.06.2006 17:22 7.618.560 nvcpl.dll
01.06.2006 17:22 253.952 nvrsno.dll
01.06.2006 17:22 258.048 nvrspl.dll
01.06.2006 17:22 425.984 keystone.exe
01.06.2006 17:22 1.519.616 nwiz.exe
01.06.2006 17:22 274.432 nvrspt.dll
01.06.2006 17:22 1.740.800 nvwssr.dll
01.06.2006 17:22 1.257.472 nvwss.dll
01.06.2006 17:22 167.936 nvwrszht.dll
01.06.2006 17:22 163.840 nvwrszhc.dll
01.06.2006 17:22 303.104 nvwrstr.dll
01.06.2006 17:22 294.912 nvwrssv.dll
01.06.2006 17:22 303.104 nvwrssl.dll
01.06.2006 17:22 299.008 nvwrssk.dll
01.06.2006 17:22 315.392 nvwrsru.dll
01.06.2006 17:22 319.488 nvwrsptb.dll
01.06.2006 17:22 323.584 nvwrspt.dll
01.06.2006 17:22 294.912 nvwrspl.dll
01.06.2006 17:22 299.008 nvwrsno.dll
01.06.2006 17:22 319.488 nvwrsnl.dll
01.06.2006 17:22 196.608 nvwrsko.dll
01.06.2006 17:22 212.992 nvwrsja.dll
01.06.2006 17:22 323.584 nvwrsit.dll
01.06.2006 17:22 315.392 nvwrshu.dll
01.06.2006 17:22 278.528 nvwrshe.dll
01.06.2006 17:22 327.680 nvwrsfr.dll
01.06.2006 17:22 303.104 nvwrsfi.dll
01.06.2006 17:22 327.680 nvwrsesm.dll
01.06.2006 17:22 335.872 nvwrses.dll
01.06.2006 17:22 286.720 nvwrseng.dll
01.06.2006 17:22 335.872 nvwrsel.dll
01.06.2006 17:22 69.632 nvcpl.cpl
01.06.2006 17:22 311.296 nvwrsde.dll
01.06.2006 17:22 294.912 nvwrsda.dll
01.06.2006 17:22 286.720 nvwrscs.dll
01.06.2006 17:22 282.624 nvwrsar.dll
01.06.2006 17:22 1.019.904 nvwimg.dll
01.06.2006 17:22 266.240 nvrsptb.dll
01.06.2006 17:22 147.456 nvcolor.exe
01.06.2006 17:22 1.662.976 nvwdmcpl.dll
01.06.2006 17:22 81.920 nvwddi.dll
01.06.2006 17:22 2.977.792 nvvitvsr.dll
01.06.2006 17:22 2.924.544 nvvitvs.dll
01.06.2006 17:22 4.529.408 nv4_disp.dll
01.06.2006 17:22 35.840 nvcodins.dll
01.06.2006 17:22 35.840 nvcod.dll
01.06.2006 17:22 442.368 nvappbar.exe
01.06.2006 17:22 274.432 nvrsnl.dll
01.06.2006 17:22 258.048 nvrshu.dll
01.06.2006 17:22 73.728 nvtuicpl.cpl
01.06.2006 17:22 155.715 nvsvc32.exe
01.06.2006 17:22 270.336 nvrsru.dll
01.06.2006 17:22 466.944 nvshell.dll
01.06.2006 17:22 122.880 nvrszht.dll
01.06.2006 17:22 225.280 nvrszhc.dll
01.06.2006 17:22 258.048 nvrssk.dll
01.06.2006 17:22 258.048 nvrstr.dll
01.06.2006 17:22 253.952 nvrssv.dll
01.06.2006 17:22 258.048 nvrssl.dll
01.06.2006 17:22 196.608 nvapi.dll
21.05.2006 04:32 15.388 ikhcore.log
17.05.2006 15:35 380.486 perfh009.dat
17.05.2006 15:35 391.330 perfh007.dat
17.05.2006 15:35 52.900 perfc009.dat
17.05.2006 15:35 63.778 perfc007.dat
17.05.2006 15:35 897.954 PerfStringBackup.INI
17.05.2006 00:00 84.086 kspydoc.log
16.05.2006 23:24 8 ldat1.dat
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 176.128 pxmas.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 13:15 0 Sweeper.cfg
Datentr„ger in Laufwerk D: ist System
Volumeseriennummer: 3C70-9FEE
Verzeichnis von D:\DOKUME~1\ALEXSC~1\LOKALE~1\Temp
18.08.2006 11:15 16.384 ~DF1C83.tmp
18.08.2006 11:15 16.384 ~DF1681.tmp
18.08.2006 11:15 512 ~DF168D.tmp
18.08.2006 10:52 16.384 ~DFA333.tmp
18.08.2006 10:52 16.384 ~DFF4BF.tmp
18.08.2006 10:45 3.328 java_install_reg.log
18.08.2006 10:19 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}27686.html
18.08.2006 10:16 16.384 ~DF6C8E.tmp
18.08.2006 10:16 16.384 ~DF6593.tmp
17.08.2006 11:46 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}23927.html
17.08.2006 10:10 4.592 SIntfIcn.ani
17.08.2006 10:10 24.744 SIntfNT.dll
17.08.2006 10:10 20.016 SIntf32.dll
17.08.2006 10:10 12.305 SIntf16.dll
17.08.2006 10:10 16.384 ~DF8DBF.tmp
17.08.2006 10:09 16.384 ~DF8508.tmp
17.08.2006 07:56 16.384 ~DF7128.tmp
17.08.2006 07:56 16.384 ~DF6864.tmp
16.08.2006 10:28 0 1.11.2.5464.deDE
15.08.2006 20:39 16.384 ~DF9CEF.tmp
15.08.2006 20:39 16.384 ~DF95C3.tmp
15.08.2006 20:39 16.384 ~DF358B.tmp
15.08.2006 20:39 16.384 ~DF2EE5.tmp
15.08.2006 20:12 16.384 ~DF24D8.tmp
15.08.2006 20:12 16.384 ~DF1C20.tmp
15.08.2006 13:57 16.384 ~DFE602.tmp
15.08.2006 13:57 16.384 ~DFDF14.tmp
15.08.2006 13:57 16.384 ~DF63DB.tmp
15.08.2006 13:57 16.384 ~DF5C50.tmp
15.08.2006 13:56 16.384 ~DFEFA3.tmp
15.08.2006 13:56 16.384 ~DFD8D7.tmp
14.08.2006 22:45 717 control.xml
14.08.2006 18:46 16.384 ~DF9FA2.tmp
14.08.2006 18:46 16.384 ~DF9580.tmp
13.08.2006 22:53 16.384 ~DF9D00.tmp
13.08.2006 22:53 16.384 ~DF5F17.tmp
13.08.2006 22:51 11.496 BNe16D.tmp
13.08.2006 19:10 16.384 ~DF40A4.tmp
13.08.2006 19:10 16.384 ~DF382B.tmp
13.08.2006 19:10 512 ~DF3837.tmp
13.08.2006 17:04 16.384 ~DF22CE.tmp
13.08.2006 17:04 16.384 ~DF1343.tmp
13.08.2006 15:13 16.384 ~DF6156.tmp
13.08.2006 15:13 16.384 ~DF5994.tmp
12.08.2006 11:21 16.384 ~DF6BBF.tmp
12.08.2006 11:21 16.384 ~DF64EA.tmp
12.08.2006 01:12 74 Install.log
11.08.2006 20:48 36.864 CmdLineExt02.dll
11.08.2006 17:24 16.384 ~DFB5CD.tmp
11.08.2006 17:24 16.384 ~DFA64D.tmp
11.08.2006 12:19 16.384 ~DF6395.tmp
11.08.2006 12:19 16.384 ~DF5C63.tmp
10.08.2006 11:53 16.384 ~DF79FC.tmp
10.08.2006 11:53 16.384 ~DF735F.tmp
09.08.2006 11:11 16.384 ~DF2F1B.tmp
09.08.2006 11:11 16.384 ~DF26F7.tmp
08.08.2006 13:20 16.384 ~DF3FB3.tmp
08.08.2006 13:20 16.384 ~DF370B.tmp
08.08.2006 12:49 16.384 ~DFDB33.tmp
08.08.2006 12:49 16.384 ~DFC597.tmp
07.08.2006 15:44 16.384 ~DFC4AA.tmp
07.08.2006 15:44 16.384 ~DFC4C7.tmp
07.08.2006 15:44 16.384 ~DFC472.tmp
07.08.2006 15:44 16.384 ~DFC48E.tmp
07.08.2006 15:44 16.384 ~DF9C15.tmp
07.08.2006 15:44 16.384 ~DF70C5.tmp
05.08.2006 23:54 111 rawB.tmp.asx
05.08.2006 23:54 0 rawB.tmp
05.08.2006 22:30 111 rawA.tmp.asx
05.08.2006 22:30 0 rawA.tmp
04.08.2006 17:35 0 fla3.tmp
01.08.2006 11:04 24.299 autospeed_0.9.0.jar
01.08.2006 11:04 589 AZU20309.tmp
01.08.2006 10:58 298.296 azplugins_2.0.jar
01.08.2006 10:58 767 AZU20306.tmp
30.07.2006 14:39 16.252 9c96_appcompat.txt
28.07.2006 23:21 447 vrb10.tmp
20.07.2006 16:37 25.524 dfc7_appcompat.txt
16.07.2006 02:28 447 tvx12.tmp
15.07.2006 19:33 16.384 ~DF55E8.tmp
15.07.2006 19:33 16.384 ~DF4C37.tmp
07.05.2006 19:12 32.855 ICQRT.dll
Datentr„ger in Laufwerk D: ist System
Volumeseriennummer: 3C70-9FEE
Verzeichnis von D:\WINDOWS
18.08.2006 11:15 0 0.log
18.08.2006 11:15 50 wiaservc.log
18.08.2006 11:15 159 wiadebug.log
18.08.2006 11:15 2.048 bootstat.dat
18.08.2006 11:13 32.620 SchedLgU.Txt
18.08.2006 11:13 30.504 WindowsUpdate.log
17.08.2006 22:48 34 cdplayer.ini
17.08.2006 11:51 1.409 QTFont.for
17.08.2006 11:51 54.156 QTFont.qfn
16.08.2006 13:41 249.856 Setup1.exe
16.08.2006 13:41 73.216 ST6UNST.EXE
14.08.2006 22:45 4.928 wmsetup.log
12.08.2006 01:19 31.280 DIIUnin.dat
12.08.2006 01:12 2.829 DIIUnin.pif
12.08.2006 01:12 102.400 DIIUnin.exe
05.08.2006 22:30 4.874 setupapi.log
04.08.2006 12:50 0 setupact.log
04.08.2006 12:50 0 setuperr.log
24.06.2006 01:54 72.592 War3Unin.dat
03.06.2006 11:16 116 NeroDigital.ini
17.05.2006 14:42 498 win.ini
17.05.2006 14:42 227 system.ini
17.05.2006 14:42 227 system.tmp
17.05.2006 14:42 498 win.tmp
Datentr„ger in Laufwerk D: ist System
Volumeseriennummer: 3C70-9FEE
Verzeichnis von D:\
18.08.2006 11:21 0 sys.txt
18.08.2006 11:21 4.887 system.txt
18.08.2006 11:20 4.643 systemtemp.txt
18.08.2006 11:19 107.586 system32.txt
18.08.2006 11:15 1.610.612.736 pagefile.sys
5 Datei(en) 1.610.729.852 Bytes
0 Verzeichnis(se), 7.538.212.864 Bytes frei
So habe alle Schritte bis auf 1. mit der Blacklight abgearbeitet, wenn ich das Programm versuch zu starten zeigt mir fsecure ein Fehler an, das was mit meinem System net übereinstimmt und somit das Programm net laufen kann
Der Fehler der beim starten des Programms kommt lautet:
SeDebugPrivileg
- Your computer settings may prevent acquiring these privileges.
- A malicious program might have disabled these privileges.
Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}982987F25417-DEC9-A904-03E8-4FA9ABB2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ABF8E847ED6B-F1FA-A254-CDAF-BD7479F5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7856EDB0A7A0-A858-E9B4-81CB-BEDE857A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C10C0CB62DC1-2988-E054-89CC-DB4DF6E6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4CD2F14F4B0A-E92B-2124-01AF-20D6BFBF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}660628B5FA45-BA4A-8704-6A49-75881D37{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}101DA19142F3-1B8A-C4C4-A318-C20EE213{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A3393E8892E2-4508-F024-3488-0DDB45DB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1C87541A3825-AC48-06F4-001E-DE189E02{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8715AAD8241B-676B-6554-8830-C542AF7F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}007F10DE6D97-899B-5294-B8EC-FCDAB2B2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5759B05A3A84-7A4B-D0C4-50D0-28C888AF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8DB057855F3C-2F8B-2E04-8ABD-514EEE7D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}84126D021C96-22F9-2844-6351-437DF153{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}85BF3630246D-C768-C5B4-8A5B-DB4A83F0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A24F94F30963-ED68-A094-4557-F476FEC1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}931791245E07-71FA-7D84-4676-38F93526{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}675AD77C752B-396A-E424-BCDB-E65347BB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2EB434F93F40-2249-6FD4-0EBC-581ECCBC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}089E8D236019-F679-C224-85FE-B4DA739A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}93E81605D5A4-721A-EF24-CEBF-F046D9F1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}42A4509C8467-16D9-AF04-8BFA-91980F5E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7469768D0EE3-A1FB-0A44-1155-82DBDE4A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9CEFE1406ED9-9ACA-08C4-39A6-CDB70F8A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D9E4C4D00321-8A9B-9FC4-F359-79B60251{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}76786AAFF357-01AB-6844-1399-9F7025DA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4330E31A859C-7F5B-3EF4-5B49-75F3129E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E205E1CE00D3-152A-DC84-48B6-501D7C0B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}59234277A17F-9E6B-A024-F5A1-231BB539{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6833849EE753-EDBB-FF04-B15A-493286BE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\wvxmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...
Random Runs removed from HKLM
...
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»» Searching by size/names...
»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
Other suspects.
Directory of D:\WINDOWS\system32
»»»»» Misc files.
»»»»» Checking for older varients covered by the Rem3 tool.
4.
Datentr„ger in Laufwerk D: ist System
Volumeseriennummer: 3C70-9FEE
Verzeichnis von D:\WINDOWS\system32
18.08.2006 11:15 63.146 nvapps.xml
18.08.2006 10:16 13.646 wpa.dbl
17.08.2006 10:10 43.520 CmdLineExt03.dll
12.08.2006 01:19 21.840 SIntfNT.dll
12.08.2006 01:19 17.212 SIntf32.dll
12.08.2006 01:19 12.067 SIntf16.dll
03.08.2006 15:45 31.369 xvid-uninstall.exe
10.06.2006 19:30 57.384 avsda.dll
01.06.2006 19:09 208.896 nvusmb.exe
01.06.2006 19:09 208.896 nvunrm.exe
01.06.2006 19:09 208.896 NVUNINST.EXE
01.06.2006 19:09 208.896 nvuide.exe
01.06.2006 19:09 208.896 nvuaudio.exe
01.06.2006 19:09 208.896 nvudisp.exe
01.06.2006 17:22 1.339.392 nvdspsch.exe
01.06.2006 17:22 311.296 nvexpbar.dll
01.06.2006 17:22 5.246.976 nvdispsr.dll
01.06.2006 17:22 3.100.672 nvgames.dll
01.06.2006 17:22 2.916.352 nvgamesr.dll
01.06.2006 17:22 581.632 nvhwvid.dll
01.06.2006 17:22 1.466.368 nview.dll
01.06.2006 17:22 5.652.480 nvdisps.dll
01.06.2006 17:22 16.960 nvdisp.nvu
01.06.2006 17:22 1.011.712 nvcpluir.dll
01.06.2006 17:22 229.376 nvmccs.dll
01.06.2006 17:22 45.056 nvmccsrs.dll
01.06.2006 17:22 188.416 nvmccss.dll
01.06.2006 17:22 462.848 nvmccssr.dll
01.06.2006 17:22 794.624 nvcplui.exe
01.06.2006 17:22 86.016 nvmctray.dll
01.06.2006 17:22 888.832 nvmobls.dll
01.06.2006 17:22 2.859.008 nvmoblsr.dll
01.06.2006 17:22 286.720 nvnt4cpl.dll
01.06.2006 17:22 5.632.000 nvoglnt.dll
01.06.2006 17:22 327.680 nvrsar.dll
01.06.2006 17:22 245.760 nvrscs.dll
01.06.2006 17:22 253.952 nvrsda.dll
01.06.2006 17:22 278.528 nvrsde.dll
01.06.2006 17:22 282.624 nvrsel.dll
01.06.2006 17:22 245.760 nvrseng.dll
01.06.2006 17:22 282.624 nvrses.dll
01.06.2006 17:22 274.432 nvrsesm.dll
01.06.2006 17:22 249.856 nvrsfi.dll
01.06.2006 17:22 282.624 nvrsfr.dll
01.06.2006 17:22 327.680 nvrshe.dll
01.06.2006 17:22 282.624 nvrsit.dll
01.06.2006 17:22 266.240 nvrsja.dll
01.06.2006 17:22 262.144 nvrsko.dll
01.06.2006 17:22 7.618.560 nvcpl.dll
01.06.2006 17:22 253.952 nvrsno.dll
01.06.2006 17:22 258.048 nvrspl.dll
01.06.2006 17:22 425.984 keystone.exe
01.06.2006 17:22 1.519.616 nwiz.exe
01.06.2006 17:22 274.432 nvrspt.dll
01.06.2006 17:22 1.740.800 nvwssr.dll
01.06.2006 17:22 1.257.472 nvwss.dll
01.06.2006 17:22 167.936 nvwrszht.dll
01.06.2006 17:22 163.840 nvwrszhc.dll
01.06.2006 17:22 303.104 nvwrstr.dll
01.06.2006 17:22 294.912 nvwrssv.dll
01.06.2006 17:22 303.104 nvwrssl.dll
01.06.2006 17:22 299.008 nvwrssk.dll
01.06.2006 17:22 315.392 nvwrsru.dll
01.06.2006 17:22 319.488 nvwrsptb.dll
01.06.2006 17:22 323.584 nvwrspt.dll
01.06.2006 17:22 294.912 nvwrspl.dll
01.06.2006 17:22 299.008 nvwrsno.dll
01.06.2006 17:22 319.488 nvwrsnl.dll
01.06.2006 17:22 196.608 nvwrsko.dll
01.06.2006 17:22 212.992 nvwrsja.dll
01.06.2006 17:22 323.584 nvwrsit.dll
01.06.2006 17:22 315.392 nvwrshu.dll
01.06.2006 17:22 278.528 nvwrshe.dll
01.06.2006 17:22 327.680 nvwrsfr.dll
01.06.2006 17:22 303.104 nvwrsfi.dll
01.06.2006 17:22 327.680 nvwrsesm.dll
01.06.2006 17:22 335.872 nvwrses.dll
01.06.2006 17:22 286.720 nvwrseng.dll
01.06.2006 17:22 335.872 nvwrsel.dll
01.06.2006 17:22 69.632 nvcpl.cpl
01.06.2006 17:22 311.296 nvwrsde.dll
01.06.2006 17:22 294.912 nvwrsda.dll
01.06.2006 17:22 286.720 nvwrscs.dll
01.06.2006 17:22 282.624 nvwrsar.dll
01.06.2006 17:22 1.019.904 nvwimg.dll
01.06.2006 17:22 266.240 nvrsptb.dll
01.06.2006 17:22 147.456 nvcolor.exe
01.06.2006 17:22 1.662.976 nvwdmcpl.dll
01.06.2006 17:22 81.920 nvwddi.dll
01.06.2006 17:22 2.977.792 nvvitvsr.dll
01.06.2006 17:22 2.924.544 nvvitvs.dll
01.06.2006 17:22 4.529.408 nv4_disp.dll
01.06.2006 17:22 35.840 nvcodins.dll
01.06.2006 17:22 35.840 nvcod.dll
01.06.2006 17:22 442.368 nvappbar.exe
01.06.2006 17:22 274.432 nvrsnl.dll
01.06.2006 17:22 258.048 nvrshu.dll
01.06.2006 17:22 73.728 nvtuicpl.cpl
01.06.2006 17:22 155.715 nvsvc32.exe
01.06.2006 17:22 270.336 nvrsru.dll
01.06.2006 17:22 466.944 nvshell.dll
01.06.2006 17:22 122.880 nvrszht.dll
01.06.2006 17:22 225.280 nvrszhc.dll
01.06.2006 17:22 258.048 nvrssk.dll
01.06.2006 17:22 258.048 nvrstr.dll
01.06.2006 17:22 253.952 nvrssv.dll
01.06.2006 17:22 258.048 nvrssl.dll
01.06.2006 17:22 196.608 nvapi.dll
21.05.2006 04:32 15.388 ikhcore.log
17.05.2006 15:35 380.486 perfh009.dat
17.05.2006 15:35 391.330 perfh007.dat
17.05.2006 15:35 52.900 perfc009.dat
17.05.2006 15:35 63.778 perfc007.dat
17.05.2006 15:35 897.954 PerfStringBackup.INI
17.05.2006 00:00 84.086 kspydoc.log
16.05.2006 23:24 8 ldat1.dat
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 176.128 pxmas.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 13:15 0 Sweeper.cfg
Datentr„ger in Laufwerk D: ist System
Volumeseriennummer: 3C70-9FEE
Verzeichnis von D:\DOKUME~1\ALEXSC~1\LOKALE~1\Temp
18.08.2006 11:15 16.384 ~DF1C83.tmp
18.08.2006 11:15 16.384 ~DF1681.tmp
18.08.2006 11:15 512 ~DF168D.tmp
18.08.2006 10:52 16.384 ~DFA333.tmp
18.08.2006 10:52 16.384 ~DFF4BF.tmp
18.08.2006 10:45 3.328 java_install_reg.log
18.08.2006 10:19 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}27686.html
18.08.2006 10:16 16.384 ~DF6C8E.tmp
18.08.2006 10:16 16.384 ~DF6593.tmp
17.08.2006 11:46 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}23927.html
17.08.2006 10:10 4.592 SIntfIcn.ani
17.08.2006 10:10 24.744 SIntfNT.dll
17.08.2006 10:10 20.016 SIntf32.dll
17.08.2006 10:10 12.305 SIntf16.dll
17.08.2006 10:10 16.384 ~DF8DBF.tmp
17.08.2006 10:09 16.384 ~DF8508.tmp
17.08.2006 07:56 16.384 ~DF7128.tmp
17.08.2006 07:56 16.384 ~DF6864.tmp
16.08.2006 10:28 0 1.11.2.5464.deDE
15.08.2006 20:39 16.384 ~DF9CEF.tmp
15.08.2006 20:39 16.384 ~DF95C3.tmp
15.08.2006 20:39 16.384 ~DF358B.tmp
15.08.2006 20:39 16.384 ~DF2EE5.tmp
15.08.2006 20:12 16.384 ~DF24D8.tmp
15.08.2006 20:12 16.384 ~DF1C20.tmp
15.08.2006 13:57 16.384 ~DFE602.tmp
15.08.2006 13:57 16.384 ~DFDF14.tmp
15.08.2006 13:57 16.384 ~DF63DB.tmp
15.08.2006 13:57 16.384 ~DF5C50.tmp
15.08.2006 13:56 16.384 ~DFEFA3.tmp
15.08.2006 13:56 16.384 ~DFD8D7.tmp
14.08.2006 22:45 717 control.xml
14.08.2006 18:46 16.384 ~DF9FA2.tmp
14.08.2006 18:46 16.384 ~DF9580.tmp
13.08.2006 22:53 16.384 ~DF9D00.tmp
13.08.2006 22:53 16.384 ~DF5F17.tmp
13.08.2006 22:51 11.496 BNe16D.tmp
13.08.2006 19:10 16.384 ~DF40A4.tmp
13.08.2006 19:10 16.384 ~DF382B.tmp
13.08.2006 19:10 512 ~DF3837.tmp
13.08.2006 17:04 16.384 ~DF22CE.tmp
13.08.2006 17:04 16.384 ~DF1343.tmp
13.08.2006 15:13 16.384 ~DF6156.tmp
13.08.2006 15:13 16.384 ~DF5994.tmp
12.08.2006 11:21 16.384 ~DF6BBF.tmp
12.08.2006 11:21 16.384 ~DF64EA.tmp
12.08.2006 01:12 74 Install.log
11.08.2006 20:48 36.864 CmdLineExt02.dll
11.08.2006 17:24 16.384 ~DFB5CD.tmp
11.08.2006 17:24 16.384 ~DFA64D.tmp
11.08.2006 12:19 16.384 ~DF6395.tmp
11.08.2006 12:19 16.384 ~DF5C63.tmp
10.08.2006 11:53 16.384 ~DF79FC.tmp
10.08.2006 11:53 16.384 ~DF735F.tmp
09.08.2006 11:11 16.384 ~DF2F1B.tmp
09.08.2006 11:11 16.384 ~DF26F7.tmp
08.08.2006 13:20 16.384 ~DF3FB3.tmp
08.08.2006 13:20 16.384 ~DF370B.tmp
08.08.2006 12:49 16.384 ~DFDB33.tmp
08.08.2006 12:49 16.384 ~DFC597.tmp
07.08.2006 15:44 16.384 ~DFC4AA.tmp
07.08.2006 15:44 16.384 ~DFC4C7.tmp
07.08.2006 15:44 16.384 ~DFC472.tmp
07.08.2006 15:44 16.384 ~DFC48E.tmp
07.08.2006 15:44 16.384 ~DF9C15.tmp
07.08.2006 15:44 16.384 ~DF70C5.tmp
05.08.2006 23:54 111 rawB.tmp.asx
05.08.2006 23:54 0 rawB.tmp
05.08.2006 22:30 111 rawA.tmp.asx
05.08.2006 22:30 0 rawA.tmp
04.08.2006 17:35 0 fla3.tmp
01.08.2006 11:04 24.299 autospeed_0.9.0.jar
01.08.2006 11:04 589 AZU20309.tmp
01.08.2006 10:58 298.296 azplugins_2.0.jar
01.08.2006 10:58 767 AZU20306.tmp
30.07.2006 14:39 16.252 9c96_appcompat.txt
28.07.2006 23:21 447 vrb10.tmp
20.07.2006 16:37 25.524 dfc7_appcompat.txt
16.07.2006 02:28 447 tvx12.tmp
15.07.2006 19:33 16.384 ~DF55E8.tmp
15.07.2006 19:33 16.384 ~DF4C37.tmp
07.05.2006 19:12 32.855 ICQRT.dll
Datentr„ger in Laufwerk D: ist System
Volumeseriennummer: 3C70-9FEE
Verzeichnis von D:\WINDOWS
18.08.2006 11:15 0 0.log
18.08.2006 11:15 50 wiaservc.log
18.08.2006 11:15 159 wiadebug.log
18.08.2006 11:15 2.048 bootstat.dat
18.08.2006 11:13 32.620 SchedLgU.Txt
18.08.2006 11:13 30.504 WindowsUpdate.log
17.08.2006 22:48 34 cdplayer.ini
17.08.2006 11:51 1.409 QTFont.for
17.08.2006 11:51 54.156 QTFont.qfn
16.08.2006 13:41 249.856 Setup1.exe
16.08.2006 13:41 73.216 ST6UNST.EXE
14.08.2006 22:45 4.928 wmsetup.log
12.08.2006 01:19 31.280 DIIUnin.dat
12.08.2006 01:12 2.829 DIIUnin.pif
12.08.2006 01:12 102.400 DIIUnin.exe
05.08.2006 22:30 4.874 setupapi.log
04.08.2006 12:50 0 setupact.log
04.08.2006 12:50 0 setuperr.log
24.06.2006 01:54 72.592 War3Unin.dat
03.06.2006 11:16 116 NeroDigital.ini
17.05.2006 14:42 498 win.ini
17.05.2006 14:42 227 system.ini
17.05.2006 14:42 227 system.tmp
17.05.2006 14:42 498 win.tmp
Datentr„ger in Laufwerk D: ist System
Volumeseriennummer: 3C70-9FEE
Verzeichnis von D:\
18.08.2006 11:21 0 sys.txt
18.08.2006 11:21 4.887 system.txt
18.08.2006 11:20 4.643 systemtemp.txt
18.08.2006 11:19 107.586 system32.txt
18.08.2006 11:15 1.610.612.736 pagefile.sys
5 Datei(en) 1.610.729.852 Bytes
0 Verzeichnis(se), 7.538.212.864 Bytes frei
So habe alle Schritte bis auf 1. mit der Blacklight abgearbeitet, wenn ich das Programm versuch zu starten zeigt mir fsecure ein Fehler an, das was mit meinem System net übereinstimmt und somit das Programm net laufen kann
Der Fehler der beim starten des Programms kommt lautet:
SeDebugPrivileg
- Your computer settings may prevent acquiring these privileges.
- A malicious program might have disabled these privileges.
- alexschott
- Beiträge: 106
- Registriert: 25.01.2005, 12:41
von Nikita am 18.08.2006, 14:36
1.
arbeite das ab
Look2Me-Destroyer V1.0.5
http://virus-protect.org/l2mfix.html
2.
versuche es noch mal mit
http://www.f-secure.com/blacklight/
arbeite das ab
Look2Me-Destroyer V1.0.5
http://virus-protect.org/l2mfix.html
2.
versuche es noch mal mit
http://www.f-secure.com/blacklight/
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von alexschott am 18.08.2006, 18:01
Look2Me-Destroyer V1.0.12
Scanning for infected files.....
Scan started at 18.8.2006 17:53:39
Attempting to delete infected files...
Making registry repairs.
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{886CF1C8-6D3D-437D-ADC4-F3C57B2AF516}"
HKCR\Clsid\{886CF1C8-6D3D-437D-ADC4-F3C57B2AF516}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{95429CE6-5703-4D8A-9B88-89865392CD1F}"
HKCR\Clsid\{95429CE6-5703-4D8A-9B88-89865392CD1F}
Restoring Windows certificates.
Replaced hosts file with default windows hosts file
Restoring SeDebugPrivilege for Administratoren - Succeeded
Nun funktionierts, ich lass es gerade durchlaufen
So fertig, no hidden items found. Hab heute morgen aber ma das online Fsecure komplett durchlaufen lassen da hatte er spyware etc gefunden und gesäubert.
Scanning for infected files.....
Scan started at 18.8.2006 17:53:39
Attempting to delete infected files...
Making registry repairs.
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{886CF1C8-6D3D-437D-ADC4-F3C57B2AF516}"
HKCR\Clsid\{886CF1C8-6D3D-437D-ADC4-F3C57B2AF516}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{95429CE6-5703-4D8A-9B88-89865392CD1F}"
HKCR\Clsid\{95429CE6-5703-4D8A-9B88-89865392CD1F}
Restoring Windows certificates.
Replaced hosts file with default windows hosts file
Restoring SeDebugPrivilege for Administratoren - Succeeded
Nun funktionierts, ich lass es gerade durchlaufen
So fertig, no hidden items found. Hab heute morgen aber ma das online Fsecure komplett durchlaufen lassen da hatte er spyware etc gefunden und gesäubert.
- alexschott
- Beiträge: 106
- Registriert: 25.01.2005, 12:41
von alexschott am 18.08.2006, 18:07
Blacklight log:
08/18/06 18:02:23 [Info]: BlackLight Engine 1.0.46 initialized
08/18/06 18:02:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/18/06 18:02:23 [Note]: 7019 4
08/18/06 18:02:23 [Note]: 7005 0
08/18/06 18:02:26 [Note]: 7006 0
08/18/06 18:02:26 [Note]: 7011 1632
08/18/06 18:02:26 [Note]: 7026 0
08/18/06 18:02:27 [Note]: 7026 0
08/18/06 18:02:29 [Note]: FSRAW library version 1.7.1019
08/18/06 18:05:22 [Note]: 7007 0
08/18/06 18:02:23 [Info]: BlackLight Engine 1.0.46 initialized
08/18/06 18:02:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/18/06 18:02:23 [Note]: 7019 4
08/18/06 18:02:23 [Note]: 7005 0
08/18/06 18:02:26 [Note]: 7006 0
08/18/06 18:02:26 [Note]: 7011 1632
08/18/06 18:02:26 [Note]: 7026 0
08/18/06 18:02:27 [Note]: 7026 0
08/18/06 18:02:29 [Note]: FSRAW library version 1.7.1019
08/18/06 18:05:22 [Note]: 7007 0
- alexschott
- Beiträge: 106
- Registriert: 25.01.2005, 12:41
von Nikita am 18.08.2006, 22:16
Fixe mit dem HijackThis - damit wird die umgeleitete Internetverbindung geloescht.
PC neustarten
Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen. -> anhaken
Zugangsdaten des Providers hergestellen - 85.255.116.20 85.255.112.215 darf nicht drinstehen !!!!!!!!
**
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.
**
scanne und poste den report
http://virus-protect.org/artikel/tools/ ... yware.html
**
poste das neue Log vom HjackTHis
O1 - Hosts: localhost 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{00BDE808-2188-49AE-AE96-03DA21A2DDAD}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\..\{365AE4A4-A404-4386-97DF-2B30ADF96C16}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\..\{00BDE808-2188-49AE-AE96-03DA21A2DDAD}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
O17 - HKLM\System\CS2\Services\Tcpip\..\{00BDE808-2188-49AE-AE96-03DA21A2DDAD}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
PC neustarten
Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen. -> anhaken
Zugangsdaten des Providers hergestellen - 85.255.116.20 85.255.112.215 darf nicht drinstehen !!!!!!!!
**
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.
**
scanne und poste den report
http://virus-protect.org/artikel/tools/ ... yware.html
**
poste das neue Log vom HjackTHis
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von alexschott am 19.08.2006, 14:00
Vielen Dank, bin gerade am abarbeiten, gerade hat mein Antivir wieder reagiert bei der Datei D:\System Volume Information\...\A0068652.exe
Wenn ich dort auf Löschen gehe wird sie nie gelöscht, kann ich die Datei nach dem Abarbeiten dann entfernen oder wie geh ich da am besten vor weil ich nicht den genauen Pfad angezeigt bekomme bzw. der Ordner gut versteckt ist.
Wenn ich dort auf Löschen gehe wird sie nie gelöscht, kann ich die Datei nach dem Abarbeiten dann entfernen oder wie geh ich da am besten vor weil ich nicht den genauen Pfad angezeigt bekomme bzw. der Ordner gut versteckt ist.
- alexschott
- Beiträge: 106
- Registriert: 25.01.2005, 12:41
von Nikita am 19.08.2006, 14:12
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von alexschott am 19.08.2006, 14:18
Vielen Dank, bin nun auf dem Host PC, bzw dem Firmenpc in der anderen Wohnung der mit am gleichen Netz bzw Router hängt, hier nochmal die Hijacklog dieses Pc's.
Logfile of HijackThis v1.99.1
Scan saved at 14:15:42, on 19.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton Ghost\Agent\GhostTray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Telekom\Eumex 724PC DSL\Capictrl.exe
C:\Programme\Telekom\Eumex 724PC DSL\HNetCtrl.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\ELISAB~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.de/spbasic.htm?cp=1252&q=
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 724PC DSL\routcnf.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {FB7C19EE-F934-44AC-9AFC-EB60504D3B9E} - http://www.medionshop.de (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\hpzipm12.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
Irgendwelche seltsamen Funde?
Logfile of HijackThis v1.99.1
Scan saved at 14:15:42, on 19.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton Ghost\Agent\GhostTray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Telekom\Eumex 724PC DSL\Capictrl.exe
C:\Programme\Telekom\Eumex 724PC DSL\HNetCtrl.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\ELISAB~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.de/spbasic.htm?cp=1252&q=
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 724PC DSL\routcnf.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {FB7C19EE-F934-44AC-9AFC-EB60504D3B9E} - http://www.medionshop.de (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\hpzipm12.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
Irgendwelche seltsamen Funde?
- alexschott
- Beiträge: 106
- Registriert: 25.01.2005, 12:41
von Nikita am 19.08.2006, 14:30
scanne und poste den report
http://virus-protect.org/artikel/tools/ ... yware.html
dann aktiviere die systemwiederherstellung wieder.
http://virus-protect.org/artikel/tools/ ... yware.html
dann aktiviere die systemwiederherstellung wieder.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von alexschott am 19.08.2006, 14:47
Scanns:
SUPERAntiSpyware Scan Log
Generated 08/19/2006 at 02:31 PM
Core Rules Database Version : 3056
Trace Rules Database Version: 1103
Memory threats detected : 0
Registry threats detected : 5
File threats detected : 39
Adware.Tracking Cookie
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@doubleclick[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@atwola[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@2o7[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@msnportal.112.2o7[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@mediaplex[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@komtrack[2].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@ad.ambiweb[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@rambler[2].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@as1.falkag[2].txt
Browser Hijacker.Favorites
D:\Dokumente und Einstellungen\All Users\Favoriten\Download Free Spyware Remover.url
D:\Dokumente und Einstellungen\All Users\Favoriten\NEW VIAGRA at Half Price!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Chat With Nude Girls.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Order CIALIS online without leaving home..url
D:\Dokumente und Einstellungen\All Users\Favoriten\PC protection in under 2 minutes!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\SEX Dating - Real Girls For Real SEX.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Stop PopUps On Your Computer.url
D:\Dokumente und Einstellungen\All Users\Favoriten\VIAGRA at incredible low price. Bonus Pills!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\View ADULT photos of REAL GIRLS!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\CHEAPEST VIAGRA ONLINE.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Cialis at HALF PRICE!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Fast Way To Loose Your Weight!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Guaranteed low price at Pills..url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\SOMA at Special LOW PRICE.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Tramadol Special Offer!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Try New VIAGRA! Works Faster and Longer!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy
D:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Girls Who Want To Get Laid!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Horny Girls In Your Area!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Read profiles and Chat With Nude Girls!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\SEX Dating - people looking for SEX.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\View XXX photos of Real Sexy Girls..url
D:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating
D:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Easy Detect and Uninstall Spyware..url
D:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Free Spyware Scanner..url
D:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Search & Destroy Annoying Adware..url
D:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Stop PopUps on your PC..url
D:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall
Trojan.XptpMM
D:\WINDOWS\system32\fux87.ini
Trojan.Media-Codec
HKCR\Media-Codec.Chl
HKCR\Media-Codec.Chl\CLSID
HKCR\VSEnchancer.Chl
HKCR\VSEnchancer.Chl\CLSID
HKU\S-1-5-21-1343024091-179605362-725345543-1003\Software\Internet Security
D:\Programme\IntCodec
SUPERAntiSpyware Scan Log
Generated 08/19/2006 at 02:46 PM
Core Rules Database Version : 3056
Trace Rules Database Version: 1103
Memory threats detected : 0
Registry threats detected : 0
File threats detected : 8
Adware.Tracking Cookie
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@doubleclick[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@atwola[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@2o7[2].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@atdmt[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@msnportal.112.2o7[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@ad.ambiweb[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@rambler[2].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@as1.falkag[1].txt
SUPERAntiSpyware Scan Log
Generated 08/19/2006 at 02:31 PM
Core Rules Database Version : 3056
Trace Rules Database Version: 1103
Memory threats detected : 0
Registry threats detected : 5
File threats detected : 39
Adware.Tracking Cookie
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@doubleclick[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@atwola[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@2o7[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@msnportal.112.2o7[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@mediaplex[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@komtrack[2].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@ad.ambiweb[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@rambler[2].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@as1.falkag[2].txt
Browser Hijacker.Favorites
D:\Dokumente und Einstellungen\All Users\Favoriten\Download Free Spyware Remover.url
D:\Dokumente und Einstellungen\All Users\Favoriten\NEW VIAGRA at Half Price!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Chat With Nude Girls.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Order CIALIS online without leaving home..url
D:\Dokumente und Einstellungen\All Users\Favoriten\PC protection in under 2 minutes!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\SEX Dating - Real Girls For Real SEX.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Stop PopUps On Your Computer.url
D:\Dokumente und Einstellungen\All Users\Favoriten\VIAGRA at incredible low price. Bonus Pills!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\View ADULT photos of REAL GIRLS!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\CHEAPEST VIAGRA ONLINE.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Cialis at HALF PRICE!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Fast Way To Loose Your Weight!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Guaranteed low price at Pills..url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\SOMA at Special LOW PRICE.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Tramadol Special Offer!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Try New VIAGRA! Works Faster and Longer!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy
D:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Girls Who Want To Get Laid!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Horny Girls In Your Area!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Read profiles and Chat With Nude Girls!.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\SEX Dating - people looking for SEX.url
D:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\View XXX photos of Real Sexy Girls..url
D:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating
D:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Easy Detect and Uninstall Spyware..url
D:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Free Spyware Scanner..url
D:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Search & Destroy Annoying Adware..url
D:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Stop PopUps on your PC..url
D:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall
Trojan.XptpMM
D:\WINDOWS\system32\fux87.ini
Trojan.Media-Codec
HKCR\Media-Codec.Chl
HKCR\Media-Codec.Chl\CLSID
HKCR\VSEnchancer.Chl
HKCR\VSEnchancer.Chl\CLSID
HKU\S-1-5-21-1343024091-179605362-725345543-1003\Software\Internet Security
D:\Programme\IntCodec
SUPERAntiSpyware Scan Log
Generated 08/19/2006 at 02:46 PM
Core Rules Database Version : 3056
Trace Rules Database Version: 1103
Memory threats detected : 0
Registry threats detected : 0
File threats detected : 8
Adware.Tracking Cookie
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@doubleclick[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@atwola[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@2o7[2].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@atdmt[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@msnportal.112.2o7[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@ad.ambiweb[1].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@rambler[2].txt
D:\Dokumente und Einstellungen\Alex Schott\Cookies\alex schott@as1.falkag[1].txt
- alexschott
- Beiträge: 106
- Registriert: 25.01.2005, 12:41
von alexschott am 19.08.2006, 14:56
Logfile of HijackThis v1.99.1
Scan saved at 14:56:16, on 19.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
E:\Programme\Logitech\MouseWare\system\em_exec.exe
E:\Programme\ABIT\ABIT uGuru\uGuru.exe
D:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\RunDLL32.exe
E:\Programme\ICQLite\ICQLite.exe
D:\WINDOWS\system32\ctfmon.exe
E:\Programme\ABIT\ABIT uGuru\uGuru_Event_Receiver.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\system32\gearsec.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
E:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
G:\HijackThis.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ABIT uGuru] E:\Programme\ABIT\ABIT uGuru\uGuru.exe
O4 - HKLM\..\Run: [NVMixerTray] "D:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [YeppStudioAgent] D:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "E:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [dmxvw.exe] D:\WINDOWS\system32\dmxvw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] E:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2480906437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 2203521906
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O20 - Winlogon Notify: SASWinLogon - E:\Programme\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: gearsec - GEAR Software - D:\WINDOWS\system32\gearsec.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
Scan saved at 14:56:16, on 19.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
E:\Programme\Logitech\MouseWare\system\em_exec.exe
E:\Programme\ABIT\ABIT uGuru\uGuru.exe
D:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\RunDLL32.exe
E:\Programme\ICQLite\ICQLite.exe
D:\WINDOWS\system32\ctfmon.exe
E:\Programme\ABIT\ABIT uGuru\uGuru_Event_Receiver.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\system32\gearsec.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
E:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
G:\HijackThis.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ABIT uGuru] E:\Programme\ABIT\ABIT uGuru\uGuru.exe
O4 - HKLM\..\Run: [NVMixerTray] "D:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [YeppStudioAgent] D:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "E:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [dmxvw.exe] D:\WINDOWS\system32\dmxvw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] E:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2480906437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 2203521906
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O20 - Winlogon Notify: SASWinLogon - E:\Programme\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: gearsec - GEAR Software - D:\WINDOWS\system32\gearsec.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
- alexschott
- Beiträge: 106
- Registriert: 25.01.2005, 12:41
von Nikita am 19.08.2006, 16:19
Fixe mit dem HijackThis:
O4 - HKLM\..\Run: [dmxvw.exe] D:\WINDOWS\system32\dmxvw.exe
**
scanne und poste den scanreport
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml
1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
**
poste das log
http://virus-protect.org/winpfind.html
O4 - HKLM\..\Run: [dmxvw.exe] D:\WINDOWS\system32\dmxvw.exe
**
scanne und poste den scanreport
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml
1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
**
poste das log
http://virus-protect.org/winpfind.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
30 Beiträge • Seite 1 von 2 • 1, 2
Ähnliche Themen
| Möglicher Virenbefall? Desktop-Symbole kommen immer wieder.. Forum: Online- und PC-Sicherheit Autor: Neunweltler Antworten: |
Virenbefall? kaputtes OS!?! Forum: Software-Hilfe Autor: Wendigo Antworten: |
Verdacht auf Virenbefall, bitte HJT-log prüfen Forum: Online- und PC-Sicherheit Autor: TVK_HanF_ Antworten: |
Verdacht auf Virenbefall, bitte HJT-log checken Forum: Online- und PC-Sicherheit Autor: b00n Antworten: |
pc sehr langsam vermute virenbefall Forum: Online- und PC-Sicherheit Autor: tobiass Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste