popups trotz blocker

von **kay123** am 21.08.2006, 07:12

hi und zwar bekomme ich in letzter zeit sher viele popups obwohl ich den blocker eingeschaltet habe.habe auch auch schon eine antispyware durch laufen lassen ,hat aber alles nichts gebracht ,was kann ich denn da noch machen

von **Humdinger** am 21.08.2006, 09:53

scan doch mal auf Malware

http://www.emsisoft.de/de/software/ax/
Systemanforderungen für den Test:

Windows 98/ME/2000/XP oder 2003 Server
- Internet Explorer 5.0 oder höher mit aktiviertem ActiveX

Wenn Sie beim ersten Start des Tests die Frage erhalten, ob Sie das Plugin installieren möchten, klicken Sie bitte auf Ja.

und

poste dann noch einen Hijackthislog
http://hjt.klaffke.de/

MFg
Humdinger

von **kay123** am 21.08.2006, 22:43

Hier ist der Hijackthislog
ile of HijackThis v1.99.1
Scan saved at 22:42:01, on 21.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Buyertools Reminder\Reminder.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
F:\eMule\eMule.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.medionhandyfun.de/
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
O1 - Hosts: <HTML><HEAD>
O1 - Hosts: <TITLE>404 Not Found</TITLE>
O1 - Hosts: </HEAD><BODY>
O1 - Hosts: <H1>Not Found</H1>
O1 - Hosts: The requested URL /stat.dat was not found on this server.<P>
O1 - Hosts: </BODY></HTML>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3F6D9734-6AAF-9E89-8F24-3B28884363A6} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: metaspinner GmbH - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\PROGRA~1\BUYERT~1\IEBUTT~2.DLL
O2 - BHO: Windows Genuine Tool - {c815ace8-3dbf-4ffd-8231-ab1d21e8b7ee} - %SystemRoot%\system32\bidispls.dll (file missing)
O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\PROGRA~1\BUYERT~1\IEBUTT~1.DLL
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: PopUpCop - {DB43E4E6-FF8A-4018-8C8E-F68587A44A73} - C:\PROGRA~1\PopUpCop\PopUpCop.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Winlogun] C:\WINDOWS\system32\winlogin.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [vc mags up mess] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bodydumbvcmags\Skip download.exe
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] "C:\Programme\Purgatio Pro\checker.exe /check"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [readme bike] C:\DOKUME~1\KAYPEN~1\ANWEND~1\NURBLI~1\Site Real Boob.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Buyertools Reminder] "C:\Programme\Buyertools Reminder\Reminder.exe" /autorun
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: amazon Suche - C:\Programme\Buyertools Reminder\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - C:\Programme\Buyertools Reminder\Searchamazon.htm
O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm
O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\Buyertools Reminder\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\Buyertools Reminder\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Programme\Buyertools Reminder\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\Buyertools Reminder\SearchGoogle.htm
O8 - Extra context menu item: Open Image in New Window - res://C:\Programme\PopUpCop\popupcop.dll/imagenew
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Buyertools Reminder\ReminderIE.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... 0-3-48.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 5395707390
O16 - DPF: {EDDD6406-4684-410F-A90D-780E8C73D2C4} (aldi-fotoservice-druck_de_bilduebertragung) - http://www.aldi-fotoservice-druck.de/up ... ragung.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC32E40C-7D6A-4C7B-8C3B-8923F7D8B79E}: NameServer = 205.188.146.145
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKService.exe (file missing)
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: MrobeService - Unknown owner - C:\WINDOWS\system32\MRobeService.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (file missing)

von **Nikita** am 22.08.2006, 00:26

kay123

es sieht boese aus, den Swizzor-Trojaner kann man noch leicht loeschen, aber das ist ein boser Virus, nun...mal sehen....
O4 - HKLM\..\Run: [Winlogun] C:\WINDOWS\system32\winlogin.exe

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
O1 - Hosts: <HTML><HEAD>
O1 - Hosts: <TITLE>404 Not Found</TITLE>
O1 - Hosts: </HEAD><BODY>
O1 - Hosts: <H1>Not Found</H1>
O1 - Hosts: The requested URL /stat.dat was not found on this server.<P>
O1 - Hosts: </BODY></HTML>

O2 - BHO: (no name) - {3F6D9734-6AAF-9E89-8F24-3B28884363A6} - (no file)

O2 - BHO: metaspinner GmbH - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\PROGRA~1\BUYERT~1\IEBUTT~2.DLL

O2 - BHO: Windows Genuine Tool - {c815ace8-3dbf-4ffd-8231-ab1d21e8b7ee} - %SystemRoot%\system32\bidispls.dll (file missing)

O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\PROGRA~1\BUYERT~1\IEBUTT~1.DLL

O3 - Toolbar: PopUpCop - {DB43E4E6-FF8A-4018-8C8E-F68587A44A73} - C:\PROGRA~1\PopUpCop\PopUpCop.dll

O4 - HKLM\..\Run: [Winlogun] C:\WINDOWS\system32\winlogin.exe

O4 - HKLM\..\Run: [vc mags up mess] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bodydumbvcmags\Skip download.exe

O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] "C:\Programme\Purgatio Pro\checker.exe /check"

O4 - HKCU\..\Run: [readme bike] C:\DOKUME~1\KAYPEN~1\ANWEND~1\NURBLI~1\Site Real Boob.exe

O8 - Extra context menu item: Open Image in New Window - res://C:\Programme\PopUpCop\popupcop.dll/imagenew

1.
poste das log
http://virus-protect.org/artikel/tools/combofix.html

2.
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip

von **kay123** am 22.08.2006, 01:31

zu1:
Kay Pennigstorff - 06-08-22 1:23:39,42
ComboFix 06.08.18 - Running from: C:\

((((((((((((((((((((((((((((((( Files Created from 2006-07-22 to 2006-08-22 ))))))))))))))))))))))))))))))))))

2006-08-22 01:18 296,182 C:\combofix.exe
2006-08-20 06:43 19,456 C:\WINDOWS\system32\bidispls.dll
2006-08-12 12:53 117,760 C:\WINDOWS\system32\xmllite.dll
2006-08-10 23:51 98,304 C:\WINDOWS\system32\CmdLineExt.dll

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-08-22 01:22 -------- d-------- C:\Programme\Buyertools Reminder
2006-08-22 01:20 17408 --a------ C:\WINDOWS\system32\drivers\USBCRFT.SYS
2006-08-22 01:18 296182 --a------ C:\combofix.exe
2006-08-21 20:03 -------- d-------- C:\Programme\ASCARON Entertainment
2006-08-17 00:03 -------- d-------- C:\Programme\Windows Media Player
2006-08-17 00:01 -------- d-------- C:\Programme\Outlook Express
2006-08-17 00:01 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-08-13 11:28 -------- d-------- C:\Programme\PopUpCop
2006-08-13 11:28 -------- d-------- C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\PopupCop
2006-08-12 17:16 -------- d--h----- C:\Programme\WindowsUpdate
2006-08-12 13:00 -------- d--h----- C:\Programme\Uninstall Information
2006-08-12 13:00 -------- d-------- C:\Programme\Internet Explorer
2006-08-12 12:58 -------- d-------- C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\Lavasoft
2006-08-12 12:56 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-12 12:56 -------- d-------- C:\Programme\Gemeinsame Dateien\aolshare
2006-08-12 12:56 -------- d-------- C:\Programme\Gemeinsame Dateien\aol
2006-08-12 12:56 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-12 12:54 -------- d-------- C:\Programme\AOL 9.0
2006-08-12 12:42 82640 --a------ C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\errorsafescannerinstall_de[2].exe
2006-08-11 00:33 -------- d-------- C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\Flagonce
2006-08-10 23:51 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-08-05 19:13 -------- d-------- C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\NetPumper
2006-08-05 19:06 -------- d-------- C:\Programme\Anti-Leech
2006-08-05 19:06 -------- d-------- C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\Nurb live mags
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-24 15:53 19456 --a------ C:\WINDOWS\system32\bidispls.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-06 22:15 99840 --a------ C:\WINDOWS\system32\drivers\ACEDRV06.sys
2006-06-30 03:24 -------- d-------- C:\Programme\Microsoft Works
2006-06-30 03:22 -------- d-------- C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\Mp3tag
2006-06-30 03:16 -------- d-------- C:\Programme\Mp3tag
2006-06-25 17:09 -------- d---s---- C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\Microsoft
2006-06-23 09:28 5512704 --------- C:\WINDOWS\system32\ieframe.dll
2006-06-23 09:28 47616 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-06-23 09:28 454144 --------- C:\WINDOWS\system32\msfeeds.dll
2006-06-23 09:28 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-06-23 09:28 223744 --a------ C:\WINDOWS\system32\webcheck.dll
2006-06-23 09:28 179200 --------- C:\WINDOWS\system32\ieui.dll
2006-06-23 09:28 155648 --a------ C:\WINDOWS\system32\msls31.dll
2006-06-23 05:41 172544 --------- C:\WINDOWS\system32\WinFXDocObj.exe
2006-06-23 05:40 78848 --a------ C:\WINDOWS\system32\ieencode.dll
2006-06-23 05:40 40960 --a------ C:\WINDOWS\system32\url.dll
2006-06-23 05:39 99328 --a------ C:\WINDOWS\system32\occache.dll
2006-06-23 05:39 39424 --a------ C:\WINDOWS\system32\licmgr10.dll
2006-06-23 05:37 14336 --a------ C:\WINDOWS\system32\corpol.dll
2006-06-23 05:34 81920 --a------ C:\WINDOWS\system32\admparse.dll
2006-06-23 05:34 50688 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-06-23 05:34 372736 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-06-23 05:34 228864 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-06-23 05:34 167936 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-06-23 05:33 54272 --a------ C:\WINDOWS\system32\iesetup.dll
2006-06-23 05:33 41984 --a------ C:\WINDOWS\system32\iernonce.dll
2006-06-23 05:33 121856 --a------ C:\WINDOWS\system32\advpack.dll
2006-06-23 05:30 11776 --------- C:\WINDOWS\system32\msfeedssync.exe
2006-06-23 05:29 55296 --------- C:\WINDOWS\system32\icardie.dll
2006-06-23 05:29 35328 --a------ C:\WINDOWS\system32\imgutil.dll
2006-06-23 05:27 251392 --------- C:\WINDOWS\system32\iertutil.dll
2006-06-23 05:26 45568 --a------ C:\WINDOWS\system32\mshta.exe
2006-06-23 04:46 377856 --------- C:\WINDOWS\system32\ieapfltr.dll
2006-06-23 04:45 48640 --a------ C:\WINDOWS\system32\mshtmler.dll
2006-06-23 04:41 172032 --a------ C:\WINDOWS\system32\ieakui.dll
2006-06-19 15:18 23552 --------- C:\WINDOWS\system32\idndl.dll
2006-06-19 15:18 20480 --------- C:\WINDOWS\system32\normaliz.dll
2006-06-16 17:39 3068 --a------ C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\wklnhst.dat

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Dit"="Dit.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"AGRSMMSG"="AGRSMMSG.exe"
"Keyboard Status"="C:\\PROGRA~1\\Medion\\KeyStat\\KeyStat.exe"
"PCMService"="\"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe\""
"SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Realtime Monitor"="C:\\PROGRA~1\\CA\\ETRUST~1\\realmon.exe -s"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"PinnacleDriverCheck"="C:\\WINDOWS\\system32\\PSDrvCheck.exe -CheckReg"
"AOLDialer"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"Winlogun"="C:\\WINDOWS\\system32\\winlogin.exe"
"vc mags up mess"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\bodydumbvcmags\\Skip download.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"WashAndGo - Cleanup of old Backupfiles"="\"C:\\Programme\\Purgatio Pro\\checker.exe /check\""
"Buyertools Reminder"="\"C:\\Programme\\Buyertools Reminder\\Reminder.exe\" /autorun"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{553858A7-4922-4e7e-B1C1-97140C1C16EF}"="IE Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20060822-011647-231
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] "C:\Programme\Purgatio Pro\checker.exe /check"
backup-20060822-011647-295
O8 - Extra context menu item: Open Image in New Window - res://C:\Programme\PopUpCop\popupcop.dll/imagenew
backup-20060822-011647-313
O4 - HKLM\..\Run: [Winlogun] C:\WINDOWS\system32\winlogin.exe
backup-20060822-011647-852
O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\PROGRA~1\BUYERT~1\IEBUTT~1.DLL
backup-20060822-011647-641
O3 - Toolbar: PopUpCop - {DB43E4E6-FF8A-4018-8C8E-F68587A44A73} - C:\PROGRA~1\PopUpCop\PopUpCop.dll
backup-20060822-011647-566
O4 - HKCU\..\Run: [readme bike] C:\DOKUME~1\KAYPEN~1\ANWEND~1\NURBLI~1\Site Real Boob.exe
backup-20060822-011647-588
O4 - HKLM\..\Run: [vc mags up mess] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bodydumbvcmags\Skip download.exe
backup-20060822-011647-664
O2 - BHO: metaspinner GmbH - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\PROGRA~1\BUYERT~1\IEBUTT~2.DLL
backup-20060822-011647-115
O2 - BHO: Windows Genuine Tool - {c815ace8-3dbf-4ffd-8231-ab1d21e8b7ee} - %SystemRoot%\system32\bidispls.dll (file missing)
backup-20060822-011647-536
O1 - Hosts: The requested URL /stat.dat was not found on this server.<P>
backup-20060822-011647-671
O2 - BHO: (no name) - {3F6D9734-6AAF-9E89-8F24-3B28884363A6} - (no file)
backup-20060822-011647-714
O1 - Hosts: <H1>Not Found</H1>
backup-20060822-011647-724
O1 - Hosts: <HTML><HEAD>
backup-20060822-011647-803
O1 - Hosts: </BODY></HTML>
backup-20060822-011647-504
O1 - Hosts: <TITLE>404 Not Found</TITLE>
backup-20060822-011647-899
O1 - Hosts: </HEAD><BODY>
backup-20060822-011647-574
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\A2BE084991A182BD.job

Completion time: 22.08.2006 1:28:42.89

zu2 :
tentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten

25.06.2005 07:15 <DIR> Adobe
03.04.2005 01:53 <DIR> AdobeUM
06.04.2005 02:06 <DIR> Ahead
29.07.2005 17:10 <DIR> AOL
22.02.2005 02:05 <DIR> CYBERL~1 CyberLink
16.03.2005 15:47 <DIR> DATADE~1 DataDesign
12.08.2006 12:42 82.640 ERRORS~1.EXE errorsafescannerinstall_de[2].exe
11.08.2006 00:33 <DIR> Flagonce
08.04.2006 21:08 <DIR> Google
15.07.2005 14:05 <DIR> Help
26.01.2005 22:11 <DIR> IDENTI~1 Identities
12.08.2006 12:58 <DIR> Lavasoft
06.02.2005 17:44 <DIR> MACROM~1 Macromedia
30.06.2006 03:22 <DIR> Mp3tag
05.08.2006 19:13 <DIR> NETPUM~1 NetPumper
05.08.2006 19:06 <DIR> NURBLI~1 Nurb live mags
15.04.2005 19:44 <DIR> OLYMPUS
13.08.2006 11:28 <DIR> PopupCop
06.02.2005 14:51 <DIR> Real
06.02.2005 17:45 <DIR> Sun
18.05.2005 23:00 <DIR> ULEADS~1 Ulead Systems
19.05.2005 00:22 <DIR> vlc
16.06.2006 17:39 3.068 wklnhst.dat
06.02.2005 15:35 <DIR> YOU'VE~1 You've Got Pictures Screensaver
2 Datei(en) 85.708 Bytes
22 Verzeichnis(se), 38.169.714.688 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

25.06.2005 06:54 <DIR> Adobe
10.02.2005 18:14 <DIR> Ahead
29.07.2005 17:16 <DIR> AOL
21.02.2005 15:51 <DIR> BLUETO~1 Bluetooth
05.08.2006 19:06 <DIR> BODYDU~1 bodydumbvcmags
13.05.2005 15:35 <DIR> CYBERL~1 CyberLink
12.02.2005 20:51 <DIR> FUNCOM~1 fun communications
21.04.2005 13:16 <DIR> GDATA~1 G DATA
12.02.2005 20:54 <DIR> MUVEET~1 muvee Technologies
15.06.2005 23:27 <DIR> Pinnacle
13.08.2005 22:27 <DIR> QUICKT~1 QuickTime
27.01.2005 17:42 <DIR> SBSI
15.06.2005 23:33 <DIR> SMARTS~1 SmartSound Software Inc
19.08.2006 17:41 <DIR> SPYBOT~1 Spybot - Search & Destroy
18.05.2005 23:05 <DIR> ULEADS~1 Ulead Systems
06.02.2005 15:35 <DIR> VIEWPO~1 Viewpoint
23.12.2005 17:28 <DIR> WINDOW~1 Windows Genuine Advantage
0 Datei(en) 0 Bytes
17 Verzeichnis(se), 38.169.714.688 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\tasks

von **Nikita** am 22.08.2006, 10:39

1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\drivers\USBCRFT.SYS
C:\WINDOWS\system32\winlogin.exe

poste die berichte hier

-------------------------------------------------------
2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Programme\WindowsUpdate" >>files.txt
dir "C:\Programme\Uninstall Information" >>files.txt
dir "C:\Programme\Internet Explorer" >>files.txt
dir "C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\PopupCop" >>files.txt
dir "C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\Flagonce" >>files.txt
dir "C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\NetPumper" >>files.txt
dir "C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\Nurb live mags" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bodydumbvcmags" >>files.txt
dir "C:\Programme\Anti-Leech" >>files.txt
dir "C:\Programme\ErrorSafe" >>files.txt
dir "C:\Programme\NetPumper" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\ErrorSafe" >>files.txt
dir "C:\Programme" >>files.txt
notepad files.txt

von **kay123** am 22.08.2006, 16:18

zu1:
Your file "USBCRFT.SYS" is queued in position: 98. Estimated start time is between 9 and 14 minutes.

Antivirus Version Update Result

Aditional Information

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.

Und die andere datei winlogin.exe die findet er bei mir nicht ,die gibt es nicht.
zu2:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.06.2005 18:29 442.368 aldi_nord_bilduebertragung.ocx
26.04.2006 08:31 880.640 asquared.ocx
15.06.2006 18:33 1.132.192 EPUWALcontrol.dll
09.05.2006 16:51 539 EPUWALcontrol.inf
08.09.2004 23:38 1.271 erma.inf
03.11.2005 21:24 495 LegitCheckControl.inf
22.08.2003 22:10 226 opuc.inf
27.08.2005 14:30 5.065 swflash.inf
26.05.2005 04:19 291 wuweb.inf
9 Datei(en) 2.463.087 Bytes
0 Verzeichnis(se), 41.202.872.320 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Programme\WindowsUpdate

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Programme\Uninstall Information

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Programme\Internet Explorer

12.08.2006 13:00 <DIR> .
12.08.2006 13:00 <DIR> ..
15.11.2005 19:34 <DIR> Connection Wizard
21.02.2005 16:48 <DIR> Custom
23.06.2006 09:28 33.792 custsat.dll
12.08.2006 12:55 <DIR> de-de
23.06.2006 05:04 58.880 hmmapi.dll
23.06.2006 05:39 59.392 iedw.exe
23.06.2006 09:28 284.160 ieproxy.dll
28.07.2005 04:55 <DIR> PLUGINS
12.08.2006 13:01 <DIR> SIGNUP
4 Datei(en) 436.224 Bytes
7 Verzeichnis(se), 41.202.868.224 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\PopupCop

13.08.2006 11:28 <DIR> .
13.08.2006 11:28 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 41.202.868.224 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\Flagonce

11.08.2006 00:33 <DIR> .
11.08.2006 00:33 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 41.202.868.224 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\NetPumper

05.08.2006 19:13 <DIR> .
05.08.2006 19:13 <DIR> ..
05.08.2006 20:07 10.966 Kay_20Pennigstorff.ini
1 Datei(en) 10.966 Bytes
2 Verzeichnis(se), 41.202.868.224 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\Nurb live mags

05.08.2006 19:06 <DIR> .
05.08.2006 19:06 <DIR> ..
05.08.2006 19:06 10.498 Bone 01 long.exe
05.08.2006 19:06 368.582 dcdbjvhg.exe
05.08.2006 19:05 201.314 Site Real Boob.exe
3 Datei(en) 580.394 Bytes
2 Verzeichnis(se), 41.202.868.224 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bodydumbvcmags

05.08.2006 19:06 <DIR> .
05.08.2006 19:06 <DIR> ..
05.08.2006 19:06 368.582 Skip download.exe
1 Datei(en) 368.582 Bytes
2 Verzeichnis(se), 41.202.868.224 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Programme\Anti-Leech

05.08.2006 19:06 <DIR> .
05.08.2006 19:06 <DIR> ..
23.04.2005 01:13 <DIR> ALIE_1.0.1.8
02.05.2005 07:04 <DIR> ALIE_1.0.1.9
09.08.2005 12:05 <DIR> ALIE_1.0.2.1
21.12.2005 16:30 <DIR> ALIE_1.0.2.2
05.08.2006 19:07 <DIR> ALIE_1.0.2.3
05.08.2006 19:06 <DIR> ALNN
0 Datei(en) 0 Bytes
8 Verzeichnis(se), 41.202.864.128 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Programme\Gemeinsame Dateien

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Programme

19.08.2006 17:38 <DIR> .
19.08.2006 17:38 <DIR> ..
29.07.2005 17:08 <DIR> Adobe
05.06.2005 13:07 <DIR> Ahead
05.08.2006 19:06 <DIR> Anti-Leech
21.02.2005 16:03 <DIR> Antivirus Offer
12.08.2006 12:54 <DIR> AOL 9.0
21.08.2006 20:03 <DIR> ASCARON Entertainment
30.03.2006 19:54 <DIR> Ashampoo
27.01.2005 10:14 <DIR> ATI Technologies
12.01.2006 03:11 <DIR> Audacity
22.08.2006 16:03 <DIR> Buyertools Reminder
21.04.2005 15:15 <DIR> CA
22.06.2005 15:40 <DIR> Canon
21.04.2005 13:11 <DIR> CDRecordKit
02.08.2005 22:03 <DIR> CICLO
11.08.2005 13:29 <DIR> Common Files
29.07.2005 17:08 <DIR> CyberLink
29.07.2005 17:08 <DIR> DivX
21.04.2005 13:49 <DIR> Easy Video Joiner
12.02.2005 20:37 <DIR> Encarta
12.08.2006 12:56 <DIR> Gemeinsame Dateien
22.11.2005 22:14 <DIR> HighMAT CD Writing Wizard
01.04.2005 15:20 <DIR> Home Cinema
27.01.2005 08:46 <DIR> Intel
12.08.2006 13:00 <DIR> Internet Explorer
21.02.2005 15:46 <DIR> IVT Corporation
27.01.2005 19:14 <DIR> Java
16.06.2005 22:24 <DIR> JVC
28.11.2005 00:27 <DIR> KONAMI
16.03.2005 00:34 <DIR> Lavalys
06.02.2005 15:35 <DIR> Learn2.com
22.03.2005 01:16 <DIR> LetsTrade
30.11.2005 22:36 <DIR> Maplom
23.02.2005 16:58 <DIR> Medion
21.02.2005 17:42 <DIR> Messenger
12.02.2005 20:38 <DIR> Microsoft AutoRoute
26.01.2005 22:11 <DIR> microsoft frontpage
10.02.2006 00:14 <DIR> Microsoft Office
12.02.2005 20:40 <DIR> Microsoft Visual Studio
30.06.2006 03:24 <DIR> Microsoft Works
31.12.2005 00:03 <DIR> MoViC
26.01.2005 22:09 <DIR> Movie Maker
16.06.2006 16:43 <DIR> MP3
16.06.2006 16:44 <DIR> MP3 Player Utilities 3.68
30.06.2006 03:16 <DIR> Mp3tag
26.01.2005 22:08 <DIR> MSN
26.01.2005 22:08 <DIR> MSN Gaming Zone
25.11.2005 19:12 <DIR> MultiMedia Navigator
14.02.2005 21:14 <DIR> Musicmatch
12.02.2005 20:54 <DIR> muvee Technologies
26.01.2005 22:09 <DIR> NetMeeting
26.01.2005 22:08 <DIR> Online Services
26.01.2005 22:10 <DIR> Online-Dienste
17.08.2006 00:01 <DIR> Outlook Express
25.11.2005 19:12 <DIR> Picture It! Premium 10
15.06.2005 23:31 <DIR> Pinnacle
13.08.2006 11:28 <DIR> PopUpCop
21.02.2005 14:01 <DIR> QuickTime
27.01.2005 17:34 <DIR> RALINK
06.02.2005 14:50 <DIR> Real
12.02.2005 20:21 <DIR> Skype
15.06.2005 23:33 <DIR> SmartSound Software
22.08.2006 16:02 <DIR> Spybot - Search & Destroy
16.03.2005 16:45 <DIR> Star Downloader
18.03.2005 16:41 <DIR> Sygate
18.05.2005 23:05 <DIR> Ulead Systems
06.02.2005 15:35 <DIR> Viewpoint
24.03.2006 21:43 <DIR> Winamp
12.02.2005 20:22 <DIR> Winbond Electronics Corp
21.02.2005 17:42 <DIR> WinDlg
27.01.2005 18:41 <DIR> Windows Journal Viewer
21.02.2005 17:42 <DIR> Windows Media Connect
17.08.2006 00:03 <DIR> Windows Media Player
26.01.2005 22:08 <DIR> Windows NT
25.11.2005 19:12 <DIR> WinRAR
12.02.2005 20:51 <DIR> WISO
28.01.2005 09:00 <DIR> X10 Hardware
26.01.2005 22:11 <DIR> xerox
0 Datei(en) 0 Bytes
79 Verzeichnis(se), 41.202.860.032 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.06.2005 18:29 442.368 aldi_nord_bilduebertragung.ocx
26.04.2006 08:31 880.640 asquared.ocx
15.06.2006 18:33 1.132.192 EPUWALcontrol.dll
09.05.2006 16:51 539 EPUWALcontrol.inf
08.09.2004 23:38 1.271 erma.inf
03.11.2005 21:24 495 LegitCheckControl.inf
22.08.2003 22:10 226 opuc.inf
27.08.2005 14:30 5.065 swflash.inf
26.05.2005 04:19 291 wuweb.inf
9 Datei(en) 2.463.087 Bytes
0 Verzeichnis(se), 41.202.860.032 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Programme\WindowsUpdate

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Programme\Uninstall Information

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Programme\Internet Explorer

12.08.2006 13:00 <DIR> .
12.08.2006 13:00 <DIR> ..
15.11.2005 19:34 <DIR> Connection Wizard
21.02.2005 16:48 <DIR> Custom
23.06.2006 09:28 33.792 custsat.dll
12.08.2006 12:55 <DIR> de-de
23.06.2006 05:04 58.880 hmmapi.dll
23.06.2006 05:39 59.392 iedw.exe
23.06.2006 09:28 284.160 ieproxy.dll
28.07.2005 04:55 <DIR> PLUGINS
12.08.2006 13:01 <DIR> SIGNUP
4 Datei(en) 436.224 Bytes
7 Verzeichnis(se), 41.202.860.032 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\PopupCop

13.08.2006 11:28 <DIR> .
13.08.2006 11:28 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 41.202.860.032 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\Flagonce

11.08.2006 00:33 <DIR> .
11.08.2006 00:33 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 41.202.860.032 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\NetPumper

05.08.2006 19:13 <DIR> .
05.08.2006 19:13 <DIR> ..
05.08.2006 20:07 10.966 Kay_20Pennigstorff.ini
1 Datei(en) 10.966 Bytes
2 Verzeichnis(se), 41.202.860.032 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\Nurb live mags

05.08.2006 19:06 <DIR> .
05.08.2006 19:06 <DIR> ..
05.08.2006 19:06 10.498 Bone 01 long.exe
05.08.2006 19:06 368.582 dcdbjvhg.exe
05.08.2006 19:05 201.314 Site Real Boob.exe
3 Datei(en) 580.394 Bytes
2 Verzeichnis(se), 41.202.860.032 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bodydumbvcmags

05.08.2006 19:06 <DIR> .
05.08.2006 19:06 <DIR> ..
05.08.2006 19:06 368.582 Skip download.exe
1 Datei(en) 368.582 Bytes
2 Verzeichnis(se), 41.202.855.936 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Programme\Anti-Leech

05.08.2006 19:06 <DIR> .
05.08.2006 19:06 <DIR> ..
23.04.2005 01:13 <DIR> ALIE_1.0.1.8
02.05.2005 07:04 <DIR> ALIE_1.0.1.9
09.08.2005 12:05 <DIR> ALIE_1.0.2.1
21.12.2005 16:30 <DIR> ALIE_1.0.2.2
05.08.2006 19:07 <DIR> ALIE_1.0.2.3
05.08.2006 19:06 <DIR> ALNN
0 Datei(en) 0 Bytes
8 Verzeichnis(se), 41.202.855.936 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Programme\Gemeinsame Dateien

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\Programme

19.08.2006 17:38 <DIR> .
19.08.2006 17:38 <DIR> ..
29.07.2005 17:08 <DIR> Adobe
05.06.2005 13:07 <DIR> Ahead
05.08.2006 19:06 <DIR> Anti-Leech
21.02.2005 16:03 <DIR> Antivirus Offer
12.08.2006 12:54 <DIR> AOL 9.0
21.08.2006 20:03 <DIR> ASCARON Entertainment
30.03.2006 19:54 <DIR> Ashampoo
27.01.2005 10:14 <DIR> ATI Technologies
12.01.2006 03:11 <DIR> Audacity
22.08.2006 16:03 <DIR> Buyertools Reminder
21.04.2005 15:15 <DIR> CA
22.06.2005 15:40 <DIR> Canon
21.04.2005 13:11 <DIR> CDRecordKit
02.08.2005 22:03 <DIR> CICLO
11.08.2005 13:29 <DIR> Common Files
29.07.2005 17:08 <DIR> CyberLink
29.07.2005 17:08 <DIR> DivX
21.04.2005 13:49 <DIR> Easy Video Joiner
12.02.2005 20:37 <DIR> Encarta
12.08.2006 12:56 <DIR> Gemeinsame Dateien
22.11.2005 22:14 <DIR> HighMAT CD Writing Wizard
01.04.2005 15:20 <DIR> Home Cinema
27.01.2005 08:46 <DIR> Intel
12.08.2006 13:00 <DIR> Internet Explorer
21.02.2005 15:46 <DIR> IVT Corporation
27.01.2005 19:14 <DIR> Java
16.06.2005 22:24 <DIR> JVC
28.11.2005 00:27 <DIR> KONAMI
16.03.2005 00:34 <DIR> Lavalys
06.02.2005 15:35 <DIR> Learn2.com
22.03.2005 01:16 <DIR> LetsTrade
30.11.2005 22:36 <DIR> Maplom
23.02.2005 16:58 <DIR> Medion
21.02.2005 17:42 <DIR> Messenger
12.02.2005 20:38 <DIR> Microsoft AutoRoute
26.01.2005 22:11 <DIR> microsoft frontpage
10.02.2006 00:14 <DIR> Microsoft Office
12.02.2005 20:40 <DIR> Microsoft Visual Studio
30.06.2006 03:24 <DIR> Microsoft Works
31.12.2005 00:03 <DIR> MoViC
26.01.2005 22:09 <DIR> Movie Maker
16.06.2006 16:43 <DIR> MP3
16.06.2006 16:44 <DIR> MP3 Player Utilities 3.68
30.06.2006 03:16 <DIR> Mp3tag
26.01.2005 22:08 <DIR> MSN
26.01.2005 22:08 <DIR> MSN Gaming Zone
25.11.2005 19:12 <DIR> MultiMedia Navigator
14.02.2005 21:14 <DIR> Musicmatch
12.02.2005 20:54 <DIR> muvee Technologies
26.01.2005 22:09 <DIR> NetMeeting
26.01.2005 22:08 <DIR> Online Services
26.01.2005 22:10 <DIR> Online-Dienste
17.08.2006 00:01 <DIR> Outlook Express
25.11.2005 19:12 <DIR> Picture It! Premium 10
15.06.2005 23:31 <DIR> Pinnacle
13.08.2006 11:28 <DIR> PopUpCop
21.02.2005 14:01 <DIR> QuickTime
27.01.2005 17:34 <DIR> RALINK
06.02.2005 14:50 <DIR> Real
12.02.2005 20:21 <DIR> Skype
15.06.2005 23:33 <DIR> SmartSound Software
22.08.2006 16:02 <DIR> Spybot - Search & Destroy
16.03.2005 16:45 <DIR> Star Downloader
18.03.2005 16:41 <DIR> Sygate
18.05.2005 23:05 <DIR> Ulead Systems
06.02.2005 15:35 <DIR> Viewpoint
24.03.2006 21:43 <DIR> Winamp
12.02.2005 20:22 <DIR> Winbond Electronics Corp
21.02.2005 17:42 <DIR> WinDlg
27.01.2005 18:41 <DIR> Windows Journal Viewer
21.02.2005 17:42 <DIR> Windows Media Connect
17.08.2006 00:03 <DIR> Windows Media Player
26.01.2005 22:08 <DIR> Windows NT
25.11.2005 19:12 <DIR> WinRAR
12.02.2005 20:51 <DIR> WISO
28.01.2005 09:00 <DIR> X10 Hardware
26.01.2005 22:11 <DIR> xerox
0 Datei(en) 0 Bytes
79 Verzeichnis(se), 41.202.851.840 Bytes frei

von **Nikita** am 23.08.2006, 00:09

0.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winlogun"=-
"vc mags up mess"=-

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2.
PC neustarten (in den abgesicherten Modus) --> F8 drücken, wenn der PC hochfährt
das ist notwendig, denn im Normalmodus kann man die Dateien nicht löschen

3.
loeschen:

C:\WINDOWS\system32\bidispls.dll
C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\PopupCop
C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\errorsafescannerinstall_de[2].exe
C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\Flagonce
C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\Nurb live mags
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bodydumbvcmags

deinstallieren - loeschen
C:\Programme\Anti-Leech

**
boote wieder in den normalmodus

**
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften ---> Reiter Systemwiederherstellung ---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

**
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

**
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h A2BE084991A182BD.job
del A2BE084991A182BD.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

**
Counterspy --> löscht die Eintraege in der Registry von MessengerPlus! 3 und Netpumper
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Remove
poste den scanreport

**
scanne mit Dr.Web (alles löschen oder umbenennen oder verschieben lassen ! )
http://virus-protect.org/cureit.html
(poste den scanreport)

von **kay123** am 24.08.2006, 04:14

DelDrv.exe;C:\Programme\MP3 Player Utilities 3.68;Trojan.MulDrop.3906;Gelöscht.;
A0024782.exe;C:\System Volume Information\_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP81;Trojan.MulDrop.3906;Gelöscht.;
bidispla.dll;C:\WINDOWS\system32;Adware.MoneyGainer;;
LSASS.exe;C:\WINDOWS\system32\drivers\etc;IRC.Flood;Gelöscht.;
service.exe;C:\WINDOWS\system32\drivers\etc;BackDoor.Iroffer.13;Gelöscht.;

von **Nikita** am 24.08.2006, 10:32

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

2.
scanne mit kaspersky und poste den report
http://virus-protect.org/onlinescan.html
4.
poste das neue Log vom hijackTHis + noch mal die 4 logs von datfindbat zur Ueberpruefung

von **kay123** am 25.08.2006, 01:29

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Freitag, 25. August 2006 01:26:44
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 25/08/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 205269
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 106917
Viren gefunden: 0
Infizierte Objekte gefunden: 0 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:04:48

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\ACS\1.0\ph Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\ACS\1.0\variable Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\APP10394.LST Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\APP10707.LST Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\Apps.Lst Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\main.idx Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\sap.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\spool.lst Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\STYLE.LST Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\sysnews.lst Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\Toolbar.lst Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\organize\CACHE\nirvana2800 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\organize\nirvana2807 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\organize\nirvana2807.abi Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\organize\nirvana2807.aby Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\ShopAssist\DataStore\global\clientcache.adb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\ShopAssist\DataStore\users\Nirvana2807.adb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\storage\cache.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\storage\server.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\storage\stderr.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\storage\stdout.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies\030625\0237\0192\values Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Kay Pennigstorff\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Kay Pennigstorff\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Kay Pennigstorff\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Kay Pennigstorff\Lokale Einstellungen\Temp\fb_544.lck Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Kay Pennigstorff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Kay Pennigstorff\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Kay Pennigstorff\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Kay Pennigstorff\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\ASCARON Entertainment\Anstoss 3\Archives\flaggen.cpr Das Objekt ist gesperrt übersprungen
C:\Programme\ASCARON Entertainment\Anstoss 3\Archives\grafik.cpr Das Objekt ist gesperrt übersprungen
C:\Programme\ASCARON Entertainment\Anstoss 3\Archives\grafik1.cpr Das Objekt ist gesperrt übersprungen
C:\Programme\Buyertools Reminder\db\REMINDER.GDB Das Objekt ist gesperrt übersprungen
C:\Programme\CA\eTrust Antivirus\DB\rtmaster.dbf Das Objekt ist gesperrt übersprungen
C:\Programme\CA\eTrust Antivirus\DB\rtmaster.ntx Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_AGENT_LOG1.txt Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_AUDIO\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_AUDIO\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_BINARY\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_BLOB\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_BLOB\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_GLOBAL\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_GLOBAL\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_IMAGE\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_IMAGE\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_MAIN\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_MAIN\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_TV\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_TV\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_VIDEO\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_VIDEO\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\aol\ACS\DE\forms.fdb Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\aol\ACS\DE\static Das Objekt ist gesperrt übersprungen
C:\Programme\Sygate\SPF\debug.log Das Objekt ist gesperrt übersprungen
C:\Programme\Sygate\SPF\rawlog.log Das Objekt ist gesperrt übersprungen
C:\Programme\Sygate\SPF\seclog.log Das Objekt ist gesperrt übersprungen
C:\Programme\Sygate\SPF\syslog.log Das Objekt ist gesperrt übersprungen
C:\Programme\Sygate\SPF\tralog.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP82\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Logfile of HijackThis v1.99.1
Scan saved at 01:27:40, on 25.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Buyertools Reminder\Reminder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\ASCARON Entertainment\Anstoss 3\anstoss3.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.medionhandyfun.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: PopUpCop - {DB43E4E6-FF8A-4018-8C8E-F68587A44A73} - C:\PROGRA~1\PopUpCop\PopUpCop.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] "C:\Programme\Purgatio Pro\checker.exe /check"
O4 - HKCU\..\Run: [readme bike] C:\DOKUME~1\KAYPEN~1\ANWEND~1\NURBLI~1\Site Real Boob.exe
O4 - HKCU\..\Run: [Buyertools Reminder] "C:\Programme\Buyertools Reminder\Reminder.exe" /autorun
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: amazon Suche - C:\Programme\Buyertools Reminder\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - C:\Programme\Buyertools Reminder\Searchamazon.htm
O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm
O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\Buyertools Reminder\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\Buyertools Reminder\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Programme\Buyertools Reminder\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\Buyertools Reminder\SearchGoogle.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Buyertools Reminder\ReminderIE.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kav ... nicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... 0-3-48.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 5395707390
O16 - DPF: {EDDD6406-4684-410F-A90D-780E8C73D2C4} (aldi-fotoservice-druck_de_bilduebertragung) - http://www.aldi-fotoservice-druck.de/up ... ragung.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC32E40C-7D6A-4C7B-8C3B-8923F7D8B79E}: NameServer = 205.188.146.145
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKService.exe (file missing)
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: MrobeService - Unknown owner - C:\WINDOWS\system32\MRobeService.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (file missing)

von **Nikita** am 25.08.2006, 21:47

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2.
fixe mit dem hijackthis

O3 - Toolbar: PopUpCop - {DB43E4E6-FF8A-4018-8C8E-F68587A44A73} - C:\PROGRA~1\PopUpCop\PopUpCop.dll (file missing)

O4 - HKCU\..\Run: [readme bike] C:\DOKUME~1\KAYPEN~1\ANWEND~1\NURBLI~1\Site Real Boob.exe

neustarten

**
uebrpruefe, ob das wirklich geloescht ist:
C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\Nurb live mags
C:\Dokumente und Einstellungen\Kay Pennigstorff\Anwendungsdaten\PopupCop

**
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

MrobeService

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

popups trotz blocker

popups trotz blocker

scan

Ähnliche Themen

Wer ist online?