Hallo erstmal

Ich wollte mal bitte fragen was ich in meine hijackthis.log fixen muss, seit letztens bekomme ich immer eine Meldung von Free Antivir das ich einen Wurm habe der manchmal in C:/Temp Ordner auftaucht und dann wieder weg ist, TR/Drop.Delf.DJ.4 und TR/Agent.AB, ich habe auch im Internet gesucht und das hier erstmal gefunden.

http://www.trojaner-board.de/showthread.php?t=6540

Dann habe ich da gelesen das ich mit diiesen HijackThis irgendwelche Sachen fixen muss, aber keine ahnung welche.

Würde mich freuen wenn mir jemand bitte genau sagen würde was ich genau machen muss

Hier ist meine HijackThis.Log

Logfile of HijackThis v1.97.7
Scan saved at 10:07:35, on 01.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\-= Tools =-\D-Tools\daemon.exe
C:\programme\-= internet =-\ftp server\DirectUpdate\DUControl.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\-_INTE~1\0190WA~1\WARN0190.EXE
C:\Programme\-= Internet =-\Download Manager\NetPumper\NetPumperIEProxy.exe
C:\PROGRA~1\-_INTE~1\0190WA~1\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\-_INTE~1\FTPSER~1\DIRECT~1\DUService.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\-= Internet =-\Firewall\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\-= Internet =-\Firewall\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\-= Internet =-\Firewall\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\-= Internet =-\Chat\Trillian\trillian.exe
C:\Programme\-= Internet =-\Download Manager\DAP\DAP.exe
C:\Programme\-= Internet =-\Chat\Weisseradler-Script 1.071\mirc.exe
C:\Programme\-= Internet =-\firefox-0.9.3-win32-deDE\firefox\firefox.exe
C:\Dokumente und Einstellungen\ScHrAnZeR\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\-= Internet =-\Download Manager\DAP\DAPBHO.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\-_INTE~1\FTPCLI~1\FlashFXP\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\-= Internet =-\Download Manager\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\-= Tools =-\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DUControl] c:\programme\-= internet =-\ftp server\DirectUpdate\DUControl.exe
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\-_INTE~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\-= Internet =-\Download Manager\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [rybkp] C:\WINDOWS\rybkp.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\-_INTE~1\DOWNLO~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\-_INTE~1\DOWNLO~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\-= Internet =-\Download Manager\NetPumper\AddUrl.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\-_OFFI~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... 83386157f4
8ff902b60e6761397d62d367e7e25fc73023f21
ef98dd5d11facc77917e4b6421e4b1f7feb4:b26d5d59881e3d3ce8ab2292e6aa4d79
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdat ... t/opuc.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sh ... wflash.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/ffvg.cab
O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSECS.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18F4E2B9-A506-4C67-BD95-5B978E7A1A0F}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBA2A1D0-C2CD-40B2-9BD1-DAF16B9732E7}: NameServer = 217.237.150.33 217.237.151.161

Dann wollte ich noch wissen ob ich auch bei HijackThis Tool noch was bestimmtes einstellen muss?

Danke sehr für eure Hilfe

Hallo @acer

klicke noch mal das HijackThis an, dann setze ein Haekchen vor die Eintraege, die ich schreibe, dann druckst du auf <fix< und startest den PC neu:

O4 - HKLM\..\Run: [rybkp] C:\WINDOWS\rybkp.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates -
file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://public.windupdates.com/get_file. ... d87c5eb833
86157f48ff902b60e6761397d62d367e7e25fc73023f21ef98dd5d11facc77917e4b6421e4b
1f7feb4:b26d5d59881e3d3ce8ab2292e6aa4d79
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) -
http://cabs.media-motor.net/cabs/ffvg.cab
O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} -
http://www.whenusearch.com/WUInstSECS.cab

neustarten


#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

#gehe in WinRar und loesche;
WUInstSECS.cab

#Deinstalliere:
C:\Programme\Web_Rebates\WebRebates0.exe"

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) loeschen

#:Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives

folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan clean" klicken.

<Gehe wieder in den Normalmodus

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#und scanne noch mal im Normalmodus mit "eScan"

<Poste danach Virus Log Information: (aus Viewer abkopieren)
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal

mfg
Nikita

Hallo

Erst mal Vielen Dank für die schnelle Antwort

Ich besitze 2 Pc`s mit den einen bin ich gerade dabie zu Scannen in abgesicherten Modus, aber ich konnte 2 Sachen nicht finden die ich ankreuzen sollte und löschen sollte und zwar diese hier

O4 - HKLM\..\Run: [rybkp] C:\WINDOWS\rybkp.exe

und diese Datei konnte ich nicht löschen, weil ich sie nicht gefunden haben in WinRAR Ordner

#gehe in WinRar und loesche;
WUInstSECS.cab

Ich werde wenns fertig ist die Virus Log hier posten.

Dann wollte ich nochmal fragen ob wir das gleiche mit den 2ten Pc machen könnten, ich glaube das da auch was nicht stimmt??

Danke

Hallo @acer

Klar, poste alles.

Gruss
Nikita

Hallo

Also der andere Pc NR. 1 scannt immer nocch, müsste aber gleich tertig sein. Dann Poste ich die Sachen hin.

So und hier ist die HijackThis.Log von PC NR. 2

Logfile of HijackThis v1.98.2
Scan saved at 14:21:44, on 01.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\-= Tools =-\D-Tools\daemon.exe
C:\Programme\-= Internet =-\Download Manager\NetPumper\NetPumperIEProxy.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\-= Internet =-\Firewall\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\Slave.exe
C:\Programme\-= Internet =-\Firewall\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\-= Internet =-\Firewall\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\-= Internet =-\firefox-0.9.3-win32-deDE\firefox\firefox.exe
C:\Dokumente und Einstellungen\Bruder\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\-= Tools =-\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\-= Internet =-\Download Manager\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\-= Internet =-\Download Manager\NetPumper\AddUrl.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\-_INTE~1\Chat\Yahoo\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\-_INTE~1\Chat\Yahoo\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... d87c5eb833
86157f48ff902b60e6761397d62d367e7e25fc73023f21ef98dd5d11fac
c77917e4b6421e4b1f7feb4:b26d5d59881e3d3ce8ab2292e6aa4d79
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EE07F88-8AA5-4388-875E-00BAC62EFCE4}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B8B7DB9-E003-4EC0-8CF7-F298A2760549}: NameServer = 192.168.0.1

Danke

Fixe:

O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows
SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates -
file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://public.windupdates.com/get_file. ... d87c5eb833
86157f48ff902b60e6761397d62d367e7e25fc73023f21ef98dd5d11facc77917e4b6421e4b
1f7feb4:b26d5d59881e3d3ce8ab2292e6aa4d79

neustarten


Deinstalliere\Loesche:
<C:\Program Files\Windows SyncroAd\SyncroAd.exe ( TR/StartPage.KY )
<C:\Program Files\Windows SyncroAd\WinSync.exe
<C:\Programme\Web_Rebates\WebRebates0.exe
<C:\Programme\Web_Rebates\WebRebates1.exe
<C:\WINDOWS\Slave.exe
Remacc.RAServer
Remacc.RAServer can be used for malicious purposes, as it allows a hacker to control a user's computer. And therefore, Remacc.RAServer constitutes a security threat.

#Loesche die Tempor-Datein
Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#Sanne auf beiden PCs mit:
#Search&Destroy
http://www.safer-networking.org/de/download/index.html

#und scanne mit "escan" (abges. und normalmodus)
dann deaktiviere die WiederherstellunG und poste das Log noch mal.

mfg
Nikita

#Loesche die Tempor-Datein und scanne mit escan
dann deaktiviere die Wiederherstellunf und poste das Log noch mal.

Soll ich erstmal das deaktivieren der Wiederherstellung deaktivieren und dan scannen oder erst scannen und dann deaktivieren.
Und muss ich auch in abgesicherten Modus scannen??

danke

besser erst nach dem Scann die Wiederherstellung deaktivieren.

Du MUSST im abges. Modus im Normalmodus scannen (auch wenns lange dauert)

mfg
Nikita

Mit beiden Scanner in abges. Modus im Normalmodus scannen (auch wenns lange dauert) ?

Guten Abend

So Pc Nr. 2 ist fertig und es sieht folgender massen jetzt aus ich habe in normalen und abgesicherten Modus gescant mit beiden Progs.

So der Normale Modus

Ascan Antivirus

File C:\WINDOWS\Slave.exe tagged as not-a-virus:RiskWare.RA.575. No Action Taken.
File C:\WINDOWS\Slave.exe tagged as not-a-virus:RiskWare.RA.575. No Action Taken.
File C:\WINDOWS\Slave.exe tagged as not-a-virus:RiskWare.RA.575. No Action Taken.
File C:\Dokumente und Einstellungen\Bruder\Desktop\hijackthis1982\backups\backup-20041001-181150-923.dll infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{BD9691D8-5586-412F-8C92-2F43E0302059}\RP101\A0052545.dll infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{BD9691D8-5586-412F-8C92-2F43E0302059}\RP101\A0052546.exe infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{BD9691D8-5586-412F-8C92-2F43E0302059}\RP101\A0052547.exe infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{BD9691D8-5586-412F-8C92-2F43E0302059}\RP101\A0052596.dll infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{BD9691D8-5586-412F-8C92-2F43E0302059}\RP87\A0048491.exe tagged as not-a-virus:RiskWare.RA.575. No Action Taken.
File C:\System Volume Information\_restore{BD9691D8-5586-412F-8C92-2F43E0302059}\RP96\A0052233.exe infected by "not-a-virus:AdvWare.SaveNow.v" Virus. Action Taken: File Renamed.
File C:\WINDOWS\Slave.exe tagged as not-a-virus:RiskWare.RA.575. No Action Taken.
File C:\WINDOWS\Slave.exe tagged as not-a-virus:RiskWare.RA.575. No Action Taken.

SpybotSD.Results

Haxdoor-H: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\System\RAdmin

Cydoor: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1078081533-1085031214-725345543-1003\Software\Cydoor

Cydoor: Programm-Verzeichnis (Verzeichnis, nothing done)
C:\WINDOWS\system32\AdCache\

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1078081533-1085031214-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

GAIN.Gator: Autorun-Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\trickler

MainPean: Globale Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\IntexusDial


--- Spybot - Search && Destroy version: 1.3 ---
2004-08-11 Includes\Cookies.sbi
2004-09-30 Includes\Dialer.sbi
2004-09-30 Includes\Hijackers.sbi
2004-09-30 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-09-30 Includes\Malware.sbi
2004-08-12 Includes\Revision.sbi
2004-09-16 Includes\Security.sbi
2004-09-30 Includes\Spybots.sbi
2004-08-30 Includes\Tracks.uti
2004-09-30 Includes\Trojans.sbi

Und der Abgesicherter Modus

Ascan Antivirus mit Systemwiederherstellung deaktiviert gescannt

File C:\WINDOWS\Slave.exe tagged as not-a-virus:RiskWare.RA.575. No Action Taken.
File C:\WINDOWS\Slave.exe tagged as not-a-virus:RiskWare.RA.575. No Action Taken.
File C:\WINDOWS\Slave.exe tagged as not-a-virus:RiskWare.RA.575. No Action Taken.
File C:\WINDOWS\Slave.exe tagged as not-a-virus:RiskWare.RA.575. No Action Taken.

SpybotSD.Results mit Systemwiederherstellung deaktiviert gescannt

Haxdoor-H: Settings (Registry key, nothing done)
HKEY_LOCAL_MACHINE\System\RAdmin

Cydoor: Program directory (Directory, nothing done)
C:\WINDOWS\system32\AdCache\

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-21-1078081533-1085031214-725345543-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

GAIN.Gator: Autorun settings (Registry value, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\trickler

MainPean: Global settings (Registry key, nothing done)
HKEY_LOCAL_MACHINE\Software\IntexusDial


--- Spybot - Search && Destroy version: 1.3 ---
2004-08-11 Includes\Cookies.sbi
2004-09-30 Includes\Dialer.sbi
2004-09-30 Includes\Hijackers.sbi
2004-09-30 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-09-30 Includes\Malware.sbi
2004-08-12 Includes\Revision.sbi
2004-09-16 Includes\Security.sbi
2004-09-30 Includes\Spybots.sbi
2004-08-30 Includes\Tracks.uti
2004-09-30 Includes\Trojans.sbi

Und die hijackthis.log noch auch mit Systemwiederherstellung deaktiviert

Logfile of HijackThis v1.98.2
Scan saved at 00:35:49, on 02.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\Slave.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\-= Tools =-\D-Tools\daemon.exe
C:\Programme\-= Internet =-\Download Manager\NetPumper\NetPumperIEProxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\-= Internet =-\Firewall\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\-= Internet =-\Firewall\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\-= Internet =-\Firewall\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Dokumente und Einstellungen\Bruder\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\-= Tools =-\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\-= Internet =-\Download Manager\NetPumper\NetPumperIEProxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\-= Internet =-\Download Manager\NetPumper\AddUrl.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\-_INTE~1\Chat\Yahoo\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\-_INTE~1\Chat\Yahoo\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B8B7DB9-E003-4EC0-8CF7-F298A2760549}: NameServer = 192.168.0.1

Hallo @acer

alles ist sauber, aber du solltest auf dies hier verzichten( es also deinstallieren\loeschen

<C:\WINDOWS\Slave.exe
Remacc.RAServer
Remacc.RAServer can be used for malicious purposes, as it allows a hacker to control a user's computer[/color]. And therefore, Remacc.RAServer constitutes a security threat.

Wende dieses Tool von Zeit zu Zeit an, um den IE zu reinigen
#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt und durch jedermann, der Zutritt zu Ihrem Computer hat, ausgewertet werden können.
http://www.almisoft.de/traxex2.htm

#Aktiviere wieder die Wiederherstellung

#surfe nicht mehr mit dem IE (Sicherheitsrisiko)
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox ... 01.0PR.exe
Opera
http://www.opera7.de/

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.


#kopiere ab und an das Log vom HijackThis hier rein, und wenn du einen roten Eintrag fixe ihn , oder am Besten, du kommst ins Forum, wenn du unsicher bist.
http://www.hijackthis.de/index.php

mfg
Nikita

Ok werde ich machen, und heute poste ich auch nochmal die anderen Daten von Pc NR. 1

danke schön

Guten Abend

So Pc Nr. 1 ist jetzt auch fertig und es sieht folgender massen jetzt aus ich habe in normalen und abgesicherten Modus gescant mit beiden Progs.

So der Normale Modus

Escan Antivirus

File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\-= Internet =-\Chat\Weisseradler-Script 1.071\Addons\DefNfO\moo.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File C:\Programme\-= Internet =-\Chat\Weisseradler-Script 1.071\Weisseradler-Script.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\Programme\-= Internet =-\Remote\TWD Remote-Anything\Slave.exe tagged as not-a-virus:RiskWare.RA.575. No Action Taken.
File C:\Programme\ProxyShare Client\incoming\serv-u.v5.0.0.0.final.german.rar tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\RECYCLER\S-1-5-21-1454471165-484061587-725345543-1003\Di4\Board\Isimsiz Fxp - Startseite.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP10\A0005209.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP10\A0006877.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP11\A0006922.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP17\A0008382.exe tagged as not-a-virus:RiskWare.FTP.Serv-U.5000. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP17\A0011616.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP17\A0011636.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP30\A0028919.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP30\A0028939.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP5\A0005258.exe tagged as not-a-virus:RiskWare.RemoteAdmin.RA.41215. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP5\A0005260.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP5\A0006963.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\System Volume Information\_restore{9F8D6C09-16E9-4CB1-94AE-BD2AF363F7E5}\RP101\A0030510.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\System Volume Information\_restore{9F8D6C09-16E9-4CB1-94AE-BD2AF363F7E5}\RP113\A0033548.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File I:\System Volume Information\_restore{A5850D92-B8E5-41A1-949F-DE764778D8CB}\RP37\A0029609.exe tagged as not-a-virus:RiskWare.RemoteAdmin.RA.41215. No Action Taken.
File I:\System Volume Information\_restore{F66B8949-805A-45A3-BAD1-328D468B05F6}\RP14\A0003581.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\System Volume Information\_restore{F66B8949-805A-45A3-BAD1-328D468B05F6}\RP16\A0004809.EXE tagged as not-a-virus:Cracker.AssasinPatch. No Action Taken.
File I:\System Volume Information\_restore{F66B8949-805A-45A3-BAD1-328D468B05F6}\RP36\A0016553.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+01+---===[ Alte Software\Mp3 Tools\StreamBox.rar tagged as not-a-virus:Cracker.AssasinPatch. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ Neue Software\Ftp Clients\Flashfxp v2.1.924 Final Winall Cracked Working.rar tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ Neue Software\Ftp Server\Rhino_Software_Serv-U_v5.0.0.11_Corporate_Final-HARPOON.rar tagged as not-a-virus:RiskWare.FTP.Serv-U.50011. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ Neue Software\Ftp Server\Serv-U v5.0.0.9 released.exe tagged as not-a-virus:RiskWare.FTP.Serv-U.5009. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ Neue Software\Ftp Server\Serv-U.FTP.Server.v5.0.0.2.Beta.Corporate.Patch.rar tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ Neue Software\Ftp Server\Serv-U.FTP.v5.0.3.Corporate.rar tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ Neue Software\Ftp Server\Serv-U_v5.0.0.4_Corporate_Final-HARPOON.rar tagged as not-a-virus:RiskWare.FTP.Serv-U.5004. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ Neue Software\Remote\Remote-Anything 4.12.15.rar tagged as not-a-virus:RiskWare.RemoteAdmin.RA.41215. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ New Software\FTP Clients\FlashFXP.v3.0.RC4.Build.1010.Cracked.WinALL.READ.NFO-Pandora.rar tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ New Software\Ftp Scannen\ScanSQL.rar tagged as not-a-virus:NetTool.Scanner.SQLAccount. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ New Software\Tools\TWD.Remote.Anything.v5.7.5.WinAll.Cracked-EAT.rar tagged as not-a-virus:RiskWare.RA.575. No Action Taken.
File J:\Netzwerk Ordner\vnc-3.3.7-x86_win32.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File J:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP15\A0007046.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File J:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP17\A0008295.exe tagged as not-a-virus:RiskWare.RemoteAdmin.RA.41215. No Action Taken.
File J:\System Volume Information\_restore{F66B8949-805A-45A3-BAD1-328D468B05F6}\RP41\A0020512.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File J:\System Volume Information\_restore{F66B8949-805A-45A3-BAD1-328D468B05F6}\RP41\A0020533.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File J:\System Volume Information\_restore{F66B8949-805A-45A3-BAD1-328D468B05F6}\RP41\A0020547.exe tagged as not-a-virus:NetTool.Scanner.SQLAccount. No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

SpybotSD.Results

WhenU.SaveNow: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\wusn.1

Download Accelerator Plus ads: Type library (DAPBHO 1.0 Type Library) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{095006D5-6DA6-4CDC-864E-7498015816BC}

Download Accelerator Plus ads: Banner (Datei austauschen, nothing done)
C:\PROGRA~1\-_INTE~1\DOWNLO~1\DAP\dap.gif

Download Accelerator Plus ads: Ad category (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSUpdates

Download Accelerator Plus ads: Ad category (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSProxy

Download Accelerator Plus ads: Ad category (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSNoTrigger

Download Accelerator Plus ads: Ad category (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSLeech

Download Accelerator Plus ads: Ad category (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSFileList

Download Accelerator Plus ads: Ad category (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSCategory

Download Accelerator Plus ads: Ad category (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSBars

Download Accelerator Plus ads: Ad category (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSADS

Download Accelerator Plus ads: Browser helper object (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0000CC75-ACF3-4cac-A0A9-DD3868E06852}

Download Accelerator Plus ads: Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\CLSID\{235D7A27-DE65-49F0-BFCF-D5C3BC3B2E67}

Download Accelerator Plus ads: Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\CLSID\{62999427-33FC-4baf-9C9C-BCE6BD127F08}

Download Accelerator Plus ads: Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0000CC75-ACF3-4cac-A0A9-DD3868E06852}

Download Accelerator Plus ads: Default ad category (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSDefaultCategory=Default

Download Accelerator Plus ads: IE-Erweiterung (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{669695BC-A811-4A9D-8CDF-BA8C795F261C}

Download Accelerator Plus ads: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\DAPIEBar.CBAREventer.1

Download Accelerator Plus ads: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\DAPIEBar.CBAREventer

Download Accelerator Plus ads: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\DAPIEBar.DAPIEBarBand.1

Download Accelerator Plus ads: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\DAPIEBar.DAPIEBarBand

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1292428093-2025429265-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

n-Case: Programm-Verzeichnis (Verzeichnis, nothing done)
C:\WINDOWS\FLEOK\

Roings: Interface (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\Interface\{E832FFDE-8ED2-47B7-BE50-729A238040A0}

Roings: Bibliothek (Datei, nothing done)
C:\WINDOWS\system32\ObjSafe.tlb

Roings: Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\CLSID\{47E42EA5-AF8C-4D78-9937-AA40354B3018}

Roings: Interface (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\Interface\{64A5BD22-8D8A-4193-9CF8-7DB5212ABB17}


--- Spybot - Search && Destroy version: 1.3 ---
2004-08-11 Includes\Cookies.sbi
2004-09-30 Includes\Dialer.sbi
2004-09-30 Includes\Hijackers.sbi
2004-09-30 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-09-30 Includes\Malware.sbi
2004-08-12 Includes\Revision.sbi
2004-09-16 Includes\Security.sbi
2004-09-30 Includes\Spybots.sbi
2004-08-30 Includes\Tracks.uti
2004-09-30 Includes\Trojans.sbi

Und der Abgesicherter Modus

Escan Antivirus mit Systemwiederherstellung deaktiviert gescannt

File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\-= Internet =-\Chat\Weisseradler-Script 1.071\Addons\DefNfO\moo.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File C:\Programme\-= Internet =-\Chat\Weisseradler-Script 1.071\Weisseradler-Script.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\Programme\-= Internet =-\Remote\TWD Remote-Anything\Slave.exe tagged as not-a-virus:RiskWare.RA.575. No Action Taken.
File C:\Programme\ProxyShare Client\incoming\serv-u.v5.0.0.0.final.german.rar tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\RECYCLER\S-1-5-21-1454471165-484061587-725345543-1003\Di4\Board\Isimsiz Fxp - Startseite.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP10\A0005209.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP10\A0006877.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP11\A0006922.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP17\A0008382.exe tagged as not-a-virus:RiskWare.FTP.Serv-U.5000. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP17\A0011616.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP17\A0011636.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP30\A0028919.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP30\A0028939.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP5\A0005258.exe tagged as not-a-virus:RiskWare.RemoteAdmin.RA.41215. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP5\A0005260.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File I:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP5\A0006963.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\System Volume Information\_restore{9F8D6C09-16E9-4CB1-94AE-BD2AF363F7E5}\RP101\A0030510.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\System Volume Information\_restore{9F8D6C09-16E9-4CB1-94AE-BD2AF363F7E5}\RP113\A0033548.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File I:\System Volume Information\_restore{A5850D92-B8E5-41A1-949F-DE764778D8CB}\RP37\A0029609.exe tagged as not-a-virus:RiskWare.RemoteAdmin.RA.41215. No Action Taken.
File I:\System Volume Information\_restore{F66B8949-805A-45A3-BAD1-328D468B05F6}\RP14\A0003581.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\System Volume Information\_restore{F66B8949-805A-45A3-BAD1-328D468B05F6}\RP16\A0004809.EXE tagged as not-a-virus:Cracker.AssasinPatch. No Action Taken.
File I:\System Volume Information\_restore{F66B8949-805A-45A3-BAD1-328D468B05F6}\RP36\A0016553.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+01+---===[ Alte Software\Mp3 Tools\StreamBox.rar tagged as not-a-virus:Cracker.AssasinPatch. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ Neue Software\Ftp Clients\Flashfxp v2.1.924 Final Winall Cracked Working.rar tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ Neue Software\Ftp Server\Rhino_Software_Serv-U_v5.0.0.11_Corporate_Final-HARPOON.rar tagged as not-a-virus:RiskWare.FTP.Serv-U.50011. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ Neue Software\Ftp Server\Serv-U v5.0.0.9 released.exe tagged as not-a-virus:RiskWare.FTP.Serv-U.5009. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ Neue Software\Ftp Server\Serv-U.FTP.Server.v5.0.0.2.Beta.Corporate.Patch.rar tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ Neue Software\Ftp Server\Serv-U.FTP.v5.0.3.Corporate.rar tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ Neue Software\Ftp Server\Serv-U_v5.0.0.4_Corporate_Final-HARPOON.rar tagged as not-a-virus:RiskWare.FTP.Serv-U.5004. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ Neue Software\Remote\Remote-Anything 4.12.15.rar tagged as not-a-virus:RiskWare.RemoteAdmin.RA.41215. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ New Software\FTP Clients\FlashFXP.v3.0.RC4.Build.1010.Cracked.WinALL.READ.NFO-Pandora.rar tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ New Software\Ftp Scannen\ScanSQL.rar tagged as not-a-virus:NetTool.Scanner.SQLAccount. No Action Taken.
File I:\[HDD 2] FTP SERVER\+12+---===[ PROGS\+02+---===[ New Software\Tools\TWD.Remote.Anything.v5.7.5.WinAll.Cracked-EAT.rar tagged as not-a-virus:RiskWare.RA.575. No Action Taken.
File J:\Netzwerk Ordner\vnc-3.3.7-x86_win32.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File J:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP15\A0007046.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File J:\System Volume Information\_restore{78069D5E-EE95-4F04-8CF7-FF22EBF1C17B}\RP17\A0008295.exe tagged as not-a-virus:RiskWare.RemoteAdmin.RA.41215. No Action Taken.
File J:\System Volume Information\_restore{F66B8949-805A-45A3-BAD1-328D468B05F6}\RP41\A0020512.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File J:\System Volume Information\_restore{F66B8949-805A-45A3-BAD1-328D468B05F6}\RP41\A0020533.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File J:\System Volume Information\_restore{F66B8949-805A-45A3-BAD1-328D468B05F6}\RP41\A0020547.exe tagged as not-a-virus:NetTool.Scanner.SQLAccount. No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

SpybotSD.Results mit Systemwiederherstellung deaktiviert gescannt

WhenU.SaveNow: Settings (Registry key, nothing done)
HKEY_CLASSES_ROOT\wusn.1

Download Accelerator Plus ads: Type library (DAPBHO 1.0 Type Library) (Registry key, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{095006D5-6DA6-4CDC-864E-7498015816BC}

Download Accelerator Plus ads: Banner (Replace file, nothing done)
C:\PROGRA~1\-_INTE~1\DOWNLO~1\DAP\dap.gif

Download Accelerator Plus ads: Ad category (Registry key, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSUpdates

Download Accelerator Plus ads: Ad category (Registry key, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSProxy

Download Accelerator Plus ads: Ad category (Registry key, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSNoTrigger

Download Accelerator Plus ads: Ad category (Registry key, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSLeech

Download Accelerator Plus ads: Ad category (Registry key, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSFileList

Download Accelerator Plus ads: Ad category (Registry key, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSCategory

Download Accelerator Plus ads: Ad category (Registry key, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSBars

Download Accelerator Plus ads: Ad category (Registry key, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSADS

Download Accelerator Plus ads: Browser helper object (Registry key, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0000CC75-ACF3-4cac-A0A9-DD3868E06852}

Download Accelerator Plus ads: Class ID (Registry key, nothing done)
HKEY_CLASSES_ROOT\CLSID\{235D7A27-DE65-49F0-BFCF-D5C3BC3B2E67}

Download Accelerator Plus ads: Class ID (Registry key, nothing done)
HKEY_CLASSES_ROOT\CLSID\{62999427-33FC-4baf-9C9C-BCE6BD127F08}

Download Accelerator Plus ads: Class ID (Registry key, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0000CC75-ACF3-4cac-A0A9-DD3868E06852}

Download Accelerator Plus ads: Default ad category (Registry change, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\ADSDefaultCategory=Default

Download Accelerator Plus ads: IE extension (Registry key, nothing done)
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{669695BC-A811-4A9D-8CDF-BA8C795F261C}

Download Accelerator Plus ads: Root class (Registry key, nothing done)
HKEY_CLASSES_ROOT\DAPIEBar.CBAREventer.1

Download Accelerator Plus ads: Root class (Registry key, nothing done)
HKEY_CLASSES_ROOT\DAPIEBar.CBAREventer

Download Accelerator Plus ads: Root class (Registry key, nothing done)
HKEY_CLASSES_ROOT\DAPIEBar.DAPIEBarBand.1

Download Accelerator Plus ads: Root class (Registry key, nothing done)
HKEY_CLASSES_ROOT\DAPIEBar.DAPIEBarBand

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-21-1292428093-2025429265-725345543-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

n-Case: Program directory (Directory, nothing done)
C:\WINDOWS\FLEOK\

Roings: Interface (Registry key, nothing done)
HKEY_CLASSES_ROOT\Interface\{E832FFDE-8ED2-47B7-BE50-729A238040A0}

Roings: Library (File, nothing done)
C:\WINDOWS\system32\ObjSafe.tlb

Roings: Class ID (Registry key, nothing done)
HKEY_CLASSES_ROOT\CLSID\{47E42EA5-AF8C-4D78-9937-AA40354B3018}

Roings: Interface (Registry key, nothing done)
HKEY_CLASSES_ROOT\Interface\{64A5BD22-8D8A-4193-9CF8-7DB5212ABB17}


--- Spybot - Search && Destroy version: 1.3 ---
2004-08-11 Includes\Cookies.sbi
2004-09-30 Includes\Dialer.sbi
2004-09-30 Includes\Hijackers.sbi
2004-09-30 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-09-30 Includes\Malware.sbi
2004-08-12 Includes\Revision.sbi
2004-09-16 Includes\Security.sbi
2004-09-30 Includes\Spybots.sbi
2004-08-30 Includes\Tracks.uti
2004-09-30 Includes\Trojans.sbi

Und die hijackthis.log noch auch mit Systemwiederherstellung deaktiviert

Logfile of HijackThis v1.97.7
Scan saved at 19:38:14, on 04.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\ScHrAnZeR\Desktop\virus\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\-= Internet =-\Download Manager\DAP\DAPBHO.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\-_INTE~1\FTPCLI~1\FlashFXP\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\-= Internet =-\Download Manager\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\-= Tools =-\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DUControl] c:\programme\-= internet =-\ftp server\DirectUpdate\DUControl.exe
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\-_INTE~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\-= Internet =-\Download Manager\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdat ... t/opuc.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sh ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18F4E2B9-A506-4C67-BD95-5B978E7A1A0F}: NameServer = 192.168.0.1

Hallo @acer

Fixen:
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\-= Internet =-\Download Manager\DAP\DAPBHO.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\-= Internet =-\Download Manager\DAP\DAPIEBar.dll
O9 - Extra button: Run DAP (HKLM)

neustarten

1. Als erstes deaktivierst du die Wiederherstellung.
http://service1.symantec.com/SUPPORT/IN ... 7105707924

2.Gehe in die Registry
Start<Ausfuehren<regedit und loesche alle Eintraege, die der Spybot angezeigt hat.

< HKEY_CLASSES_ROOT\wusn.1
<Download Accelerator Plus ads: Type library (DAPBHO 1.0 Type Library) (Registry key, nothing done)
<HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{095006D5-6DA6-4CDC-864E-7498015816BC}
<C:\WINDOWS\FLEOK\
..
..
.....usw.

neustarten

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
http://www.tippscout.de/Windows-XP-Alte ... _1583.html

Suchfunktion Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"

2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen


3. Loesche \Deinstallieren:
<Download Accelerator Plus
<C:\Programme\-= Internet =-\Remote\TWD Remote-Anything\Slave.exe
< C:\WINDOWS\system32\ObjSafe.tlb
<Download Manager\DAP

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#Dann scanne noch mal mit eScan und Spybot und berichte.

mfg
Nikita

Guten Morgen

Wollte nur mal fragen was mit den Download Accelerator Plus nicht stimmt, damit lade ich meisten Dateien runter ist der auch verseucht. Wenn ich den nicht lösche ist das schlimm?