HI

Ich hab nen Virus und weiß nich wie ich ihn wegbekomme. Einen Kompletten Systemchek hab ich mit Norton schon gemacht. Da wurde aber nix gefunden. Es kommt immer nur ne Meldung(vom Steam) wenn ich CounterStrike zocken will: "Dieses Spiel ist zurzeit nicht verfügbar. Bitte versuchen sie es später nochmal"

In der Warnmeldung (von Norton) steht bei Objektname: C:\DOKUME~1\OC445~1....\~BB1.tmp
Der letzte Teil (hier: BB1.tmp) ist bei jedem Versuch immer anders. Eine andere Zahl oder anderer Buchstabe.

Ich weiß nich was ich noch machen kann und wovon der Virus kommt weiß ich auch nich

Hier ist die Info-Seite von dem Virus.
Und hier noch die Hijack Logfile:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:26:36, on 08.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Steam\Steam.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\O.Richter\Eigene Dateien\My Downloads\HiJackThis_v2.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.informationsarchiv.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6843944468
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC32E40C-7D6A-4C7B-8C3B-8923F7D8B79E}: NameServer = 217.237.151.205 217.237.148.70
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 11172 bytes

Im Logfile ist nichts zu sehen. Werden diese Dateien immer nur erstellt, wenn ein bestimmtes Programm läuft? Du solltest alle Programme beenden (auch solche im System-Tray) und darauf achten, ob sich etwas ändert.
Starte Steam, um zu sehen, ob dadurch die Dateien angelegt werden.

CCLEANER ausführen

Nun zuerst die
Systemwiederherstellung
http://support.microsoft.com/default.as ... ;de;310405
zuerst deaktivieren, dann wieder aktivieren


Totalscan ausführen:
http://www.nanoscan.com/as/v1/?

wähle: Full scan

Bericht speichern und posten

CCleaner hab ich schon gemacht

In der Warnmeldung (von Norton) steht bei Objektname: C:\DOKUME~1\OC445~1....\~BB1.tmp

Ja ich denk schon das die immer erstellt werden aber ich weiß nich wo. Ich finde keinen Ordner "DOKUME~1" und wenn damit der Ordner "Dokument und Einstellungen" gemeint ist find' ich da keinen "OC44~1" Ordner.

Totalscan hab ich gestern Abend gemacht:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2007-07-08 22:45:09
PROTECTIONS: 1
MALWARE: 6
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Norton Internet Security 2006 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================

00032731 application/mywebsearch HackTools No 0 Yes No HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA}


00032731 application/mywebsearch HackTools No 0 Yes No HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA}


00032731 application/mywebsearch HackTools No 0 Yes No HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44cf-8957-5838F569A31D}


00096053 application/funweb HackTools No 0 Yes No HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}


00096053 application/funweb HackTools No 0 Yes No HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9FF05104-B030-46FC-94B8-81276E4E27DF}


00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\O.Richter\Anwendungsdaten\Mozilla\Firefox\Profiles\nc1r7m76.default\cookies.txt[.casalemedia.com/]


00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\O.Richter\Anwendungsdaten\Mozilla\Firefox\Profiles\nc1r7m76.default\cookies.txt[.casalemedia.com/]


00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\O.Richter\Anwendungsdaten\Mozilla\Firefox\Profiles\nc1r7m76.default\cookies.txt[.casalemedia.com/]


00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\O.Richter\Anwendungsdaten\Mozilla\Firefox\Profiles\nc1r7m76.default\cookies.txt[.casalemedia.com/]


00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\O.Richter\Anwendungsdaten\Mozilla\Firefox\Profiles\nc1r7m76.default\cookies.txt[.atdmt.com/]


00139535 Application/Processor HackTools No 0 No No C:\Dokumente und Einstellungen\O.Richter\Eigene Dateien\ICQ Lite\258502085\Pro7-Fotobuch-Setup.exe[process.exe]


00139535 Application/Processor HackTools No 0 Yes No C:\Programme\Pro7-Fotobuch\xtras\process.exe


00145732 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\O.Richter\Anwendungsdaten\Mozilla\Firefox\Profiles\nc1r7m76.default\cookies.txt[.as-eu.falkag.net/]
;===================================================================================================================================================================================
SUSPECTS
Location



Systemwiedeherstellung mach ich sofort

Aber was bringt das wenn ich die Systemwiederherstellung deaktiviere und dann wieder aktiviere, da werden doch nur die SystemwiederherstellungsPUNKTE gelöscht

Damit wird verhindert, das bereits gelöschte Malware wiederhergestellt wird. Du solltest es daher einmal ausführen.

Entweder entferne die gefunden Sachen direkt aus der Reg. oder nutze Counterspy, dieses findet es dann auch.

Bitte in dieser Reihenfolge:

Lösche direkt:

C:\Dokumente und Einstellungen\O.Richter\Eigene Dateien\ICQ Lite\258502085\Pro7-Fotobuch-Setup.exe

C:\Programme\Pro7-Fotobuch\xtras\process.exe

Counterspy V2
http://research.sunbelt-software.com/download.aspx

* Installation

* CounterSpywird geupdatet

Nicht Scannen. Boote nun in den abgesicherten MODUS (bei Neustart F8 drücken)

nun weiter im abgesicherten Modus

Counterspy starten

* Klicke: "Run a Spyware Scan Now"

* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu

Nach Neustart in Normalmodus

poste das log von Counterspy

Hinweis:
Scanreport finden:
klicke : View details

diesen Report kann man abkopieren: [mit der linken Maus-Taste über den Text fahren -> rechte Maustaste -> kopieren -> hier im Thread -> rechte Maustaste -> einfügen]

Lade dir Navilog1.zip,auf dem Desktop speichern & entpacken,danach wird einen Ordner Navilog1 auf dem Desktop erstellt.Nun muss du dieser Ordner öffnen,dann Doppelklick auf Navilog1.bat,dann Sprache Auswahl F|f-->Französisch & E|e-->Englisch,den Anweisungen auf dem Bildschirm folgen,immer eine beliebige Taste druecken bis ein Auswahl Fenster erscheint,dann die Taste 1,den Anweisungen auf dem Bildschirm folgen & am Ende den Inhalt von fixnavi.txt hier posten.

WINDOWSSCAN ausführen und posten

Barrio hat geschrieben:Ja ich denk schon das die immer erstellt werden aber ich weiß nich wo. Ich finde keinen Ordner "DOKUME~1" und wenn damit der Ordner "Dokument und Einstellungen" gemeint ist find' ich da keinen "OC44~1" Ordner.

Die Ordnernamen werden auf 8 Zeichen gekürzt, "Dokumente und Einstellungen" ist schon mal richtig, weiter geht's mit dem Ordner, dessen Name mit OC44 anfängt.

Der Ordner ist eventuell versetecke, deshalb musst du versteckte Ordner sichtbar machen.
http://www.madeonapc.de/kb/093/default.php

^^ hab ich mir gedacht, und einen Ordner der mit OC44~1 anfängt hab ich trotzdem nicht gefunden - und die versteckten ordner hab ich schon vorher sichtbar gemacht

Report von CounterSpy:

Scan History Details
Start Date: 09.07.2007 12:06:36
End Date: 09.07.2007 15:03:16
Total Time: 176 Min 40 Sec
Detected security risks

Blackhole RAT more information...
Details: Blackhole is a Trojan that when run, provides an attacker with the capability of remotely controlling a machine via a ""client"" in the attacker's machine, and a ""server"" in the victim's machine.
Status: Deleted

Files detected
C:\WINDOWS\server.exe


Cookie: Mediaplex.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Deleted

Cookies detected
c:\dokumente und einstellungen\o.richter\cookies\o.richter@mediaplex[1].txt


CoolOnlineOffers.ScreenSaver Adware Bundler more information...
Details: CoolOnlineOffers.ScreenSaver is a program which delivers advertisiment on you computer depending on your surfing behaviour.
Status: Deleted

Files detected
C:\WINDOWS\system32\The Simpsons Movie dir\expire.scf



Von Navilog:
Search Navipromo version 2.0.5 began on 09.07.2007 at 15:17:12,42

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1
Updated on 01.07.2007 at 12h00 by IL-MAFIOSO

Done in normal mode

*** Searching for installed Software ***




*** Search folders in C:\WINDOWS ***




*** Search folders in C:\Programme ***




*** Search folders in C:\Dokumente und Einstellungen\All Users\Application Data ***




*** Search folders in C:\Dokumente und Einstellungen\O.Richter\Anwendungsdaten ***



*** Search with BlackLight Engine/F-secure ***
BlackLight Engine is a product of F-secure, for more info:
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 07/09/07 at 15:17:14.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ....................................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/09/07 at 15:24:02 (return code = 0).


*** Search files ***




*** Search registry keys ***


Search in [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Search in [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Search Magic Control Key



*** Complementary Search ***
(Search specifics files)

1)Search known files:


2)Heuristic Search :
*
**
***
****
*****
******
*******
********

3)Certificates Search :


*** Search completed on 09.07.2007 at 15:24:56,48 ***


Von Windowsscan:
Die 30 neuesten Dateien im Ordner Windows:

09.07.2007 WindowsUpdate.log 15 13:1.267.818
DUN 09.07.2007 ModemLog_Bluetooth 15 12:6.104
09.07.2007 0.log 15 12:0
V.92 09.07.2007 ModemLog_Creatix 15 12:4.568
Fax 09.07.2007 ModemLog_Bluetooth 15 12:2.020
09.07.2007 wiadebug.log 15 12:159
09.07.2007 wiaservc.log 15 11:50
09.07.2007 bootstat.dat 15 11:2.048
09.07.2007 ntbtlog.txt 12 06:294.186
09.07.2007 SchedLgU.Txt 12 02:32.624
09.07.2007 win.ini 11 37:1.074
08.07.2007 mozver.dat 20 58:5.288
08.07.2007 NeroDigital.ini 07 47:202
Photoshop 07.07.2007 Adobe 15 41:53.760
26.06.2007 SYSTEM.INI 05 46:261
LAP 20.06.2007 ModemLog_Bluetooth 13 15:2.490
20.06.2007 WININIT.INI 13 08:185
04.06.2007 pex.INI 16 28:71
04.06.2007 ULead32.ini 16 27:294
04.06.2007 mdm.ini 15 54:122
04.06.2007 uninst.ini 15 49:824
04.06.2007 CatClient.INI 15 47:0
04.06.2007 PhotoNow.INI 13 24:0
04.06.2007 magix.ini 12 48:85
30.05.2007 War3Unin.dat 20 44:204.987
30.05.2007 War3Unin.pif 18 17:2.829
30.05.2007 War3Unin.exe 18 17:139.264


Die 50 neuesten Dateien im Ordner Windows\system32:

09.07.2007 klog.dat 15 26:400.455
09.07.2007 wpa.dbl 15 12:2.206
Simpsons 06.07.2007 The 16 48:532.480
15.06.2007 SBBD.exe 14 37:27.376
06.06.2007 CmdLineExt.dll 14 31:98.304
06.06.2007 MRT.exe 08 38:15.747.032
04.06.2007 KGyGaAvL.sys 18 02:5.224
04.06.2007 FNTCACHE.DAT 17 43:1.694.664
01.06.2007 BASSMOD.dll 14 05:34.308
30.05.2007 CmdLineExt03.dll 18 30:43.520
18.05.2007 ATIDEMGX.dll 03 58:339.968
18.05.2007 atiiiexx.dll 03 58:307.200
18.05.2007 ati2dvag.dll 03 57:268.288
18.05.2007 atipdlxx.dll 03 51:139.264
18.05.2007 Ati2mdxx.exe 03 50:26.112
18.05.2007 ati2edxx.dll 03 50:42.496
18.05.2007 ati2evxx.dll 03 50:118.784
18.05.2007 ati2evxx.exe 03 49:479.232
18.05.2007 ATIDDC.DLL 03 48:53.248
18.05.2007 ati3duag.dll 03 41:2.922.144
18.05.2007 atioglx2.dll 03 39:7.610.368
18.05.2007 ativvaxx.dll 03 30:1.512.960
18.05.2007 ativva5x.dat 03 30:3.107.788
18.05.2007 ativva6x.dat 03 30:972.072
18.05.2007 ativvaxx.dat 03 30:3.107.788
18.05.2007 atioglxx.dll 03 19:5.431.296
18.05.2007 atikvmag.dll 03 17:262.144
18.05.2007 atitvo32.dll 03 16:17.408
18.05.2007 atiok3x2.dll 03 14:46.592
18.05.2007 ati2cqag.dll 03 10:368.640
17.05.2007 ati2sgag.exe 21 05:520.192
16.05.2007 inetcomm.dll 17 11:683.520
08.05.2007 jupdate-1.6.0_01-b06.log 17 08:4.254
08.05.2007 mshtml.dll 10 59:3.583.488
02.05.2007 SBFC.dat 19 18:0
02.05.2007 SBRC.dat 19 18:0
29.04.2007 SIntfNT.dll 13 52:21.840
29.04.2007 SIntf32.dll 13 52:17.212
29.04.2007 SIntf16.dll 13 52:12.067
27.04.2007 QuickTime.qts 09 42:49.152
27.04.2007 QuickTimeVR.qtx 09 42:65.536
25.04.2007 schannel.dll 16 22:144.896
25.04.2007 wininet.dll 09 42:822.784
25.04.2007 webcheck.dll 09 42:232.960
25.04.2007 urlmon.dll 09 42:1.152.000
25.04.2007 mstime.dll 09 42:670.720
25.04.2007 occache.dll 09 42:102.400


# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

habs grad erst gemerkt

C:\DOKUME~1\OC445~1....\~BB1.tmp
= C:\DOKUME~1\OC445~1\LOKALE~1\TEMP\~BB1.tmp

Dann würde es eigentlich der Ordner sein:

C:\Dokumente und Einstellungen\O.Richter\Lokale Einstellungen\Temp

Da gibt es auch dateien die ich nicht verschieben kann, weil sie von einem anderen Programm benutzt werden.

Diese hier:
Perflib_Perfdata_dbc.dat
Perflib_Perfdata_a50.dat
Perflib_Perfdata_b38.dat
Perflib_Perfdata_d34.dat
Perflib_Perfdata_974.dat
Perflib_Perfdata_47c.dat

Mit Norton kann ich die auch nich scannen

Hab die Dateien jetzt im abgesicherten Modus in Quarantäne gesetzt und weil es Viren waren (stand dran - Hohes Sicherheitsrisiko) hab' ich sie gelöscht.

Aber das Problem ist immer noch nicht gelöst (Die Spiele funktionieren nich)

Die Dateien wurden wieder erstellt, nur wie ? Was muss ich machen damit die nicht immer erstellt werden ?

[als sie im Quarantäne-Bereich waren, waren auch einige andere dateien da die ich vorher nicht sehen konnte, mit der Bezeichnung: HackTool]

lösche das mit
http://virus-protect.org/cleanup.html

Ich finde ansonsten aber in den Reporten nichts.

Scan bei Kasperksy

Onlinescan vom gesamten System:
http://www.kaspersky.com/de/virusscanner
benötigt ActiveX --> IE ,
d.h. du mußt dafür Active X evtl. freigeben unter Interneteinstellungen.
Report vollständig posten.

xD Sorry xD

Ich bin so dumm ^^ hab gegoogelt ^^ bringt sehr viel

Anderes Forum = gleiches Problem

Das Problem

Chat mit einem Mitarbeiter von Norton

Das Problem ist Norton inzwischen bekannt und wird nächste Tage mit Update behoben. Es war also wie ich vorher schon sagte definitiv KEIN Trojaner,sondern ein PortScan für CS. Ihr braucht nichts machen und keine Sorgen haben.
Greetz,da KaZu

Fürs erste werd' ich dann mal Auto-Protect für den Start der Spiele ausschalten

Danke für die Hilfe Humdinger und Bertrand

Falls ich mal nen Virus oder sonst was habe werd' ich alles machen wie ich es hier gemacht hab'

sorry das ich vorher nich gegoogelt hab'