Arrg! Sitze nun schon denganzen tag vor dem PC! Meine Startseite stellt sich ständig auf: edit um und dort wird mir pest trap oder malware wipe zum Kauf angeboten!
Obwohl mein Norton das eigentlich unterbinden soll (Startseitenwechsel)- bis jetzt hat nichts funktioniert, Adaware ist genauso wie Spybot und mein Norton gescheitert! Wer hilft mir weiter?
Hier mein HJT-LOG:
Logfile of HijackThis v1.99.1
Scan saved at 18:54:46, on 17.06.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\ishost.exe
C:\WINDOWS\System32\issearch.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\System32\ismon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: (no name) - {7fcf04b6-6354-47ef-b45e-a48268e92757} - C:\WINDOWS\System32\ixt0.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [mmtask] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab
O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/ka ... nicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/S ... anager.ocx
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7749407-C272-4ED0-8E89-8E923FA7E1F1}: NameServer = 213.164.0.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{A7749407-C272-4ED0-8E89-8E923FA7E1F1}: NameServer = 213.164.0.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{A7749407-C272-4ED0-8E89-8E923FA7E1F1}: NameServer = 213.164.0.3
O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\mvp8l97u1.dll (file missing)
O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\mvp8l97u1.dll (file missing)
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
malware wipe - pest trap
17 Beiträge • Seite 1 von 2 • 1, 2
von Nikita am 18.06.2006, 02:04
Information :
http://virus-protect.org/artikel/spyware/ixt0.html
----------------------------------------------------------------------------------
1.
Look2Me-Destroyer V1.0.5 -> abarbeiten - poste den report
http://virus-protect.org/l2mfix.html
2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html
3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
4.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip
http://virus-protect.org/artikel/spyware/ixt0.html
----------------------------------------------------------------------------------
1.
Look2Me-Destroyer V1.0.5 -> abarbeiten - poste den report
http://virus-protect.org/l2mfix.html
2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html
3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
4.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip
Zuletzt geändert von Nikita am 18.06.2006, 22:47, insgesamt 1-mal geändert.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von xspider am 18.06.2006, 15:21
1. Look2Me-Destroyer V1.0.5 -> abarbeiten - poste den report:
Look2Me-Destroyer V1.0.12
Scanning for infected files.....
Scan started at 18.6.2006 14:42:05
Infected! C:\WINDOWS\system32\mvp8l97u1.dll
Infected! C:\WINDOWS\system32\mvp8l97u1.dll
Attempting to delete infected files...
Making registry repairs.
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Telephony
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WindowsUpdate
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{36635965-9AF3-4E82-9B3B-91453FFC7C35}"
HKCR\Clsid\{36635965-9AF3-4E82-9B3B-91453FFC7C35}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{EA4C255A-7D3F-49EC-9AA1-C06A1E819E48}"
HKCR\Clsid\{EA4C255A-7D3F-49EC-9AA1-C06A1E819E48}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{6222C7BC-834D-41DF-BD3E-D9DC6974A8F9}"
HKCR\Clsid\{6222C7BC-834D-41DF-BD3E-D9DC6974A8F9}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{E3B4AA83-C859-4BCF-B080-55E10648A3DB}"
HKCR\Clsid\{E3B4AA83-C859-4BCF-B080-55E10648A3DB}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{68B3B034-5607-4F8C-9C56-BE784962182F}"
HKCR\Clsid\{68B3B034-5607-4F8C-9C56-BE784962182F}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{337F587D-9F5F-406E-88AB-341720C8F5BE}"
HKCR\Clsid\{337F587D-9F5F-406E-88AB-341720C8F5BE}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{5A9308FC-5061-482C-B05D-E436757C0B5A}"
HKCR\Clsid\{5A9308FC-5061-482C-B05D-E436757C0B5A}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{A94C2011-A85A-468A-A2EA-2ABDA34E6FBE}"
HKCR\Clsid\{A94C2011-A85A-468A-A2EA-2ABDA34E6FBE}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{9F835ECE-A2BB-4BFA-891B-14C265F38C14}"
HKCR\Clsid\{9F835ECE-A2BB-4BFA-891B-14C265F38C14}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{3FAE8718-EE7A-4C0A-AA1A-AF7077FDB1D0}"
HKCR\Clsid\{3FAE8718-EE7A-4C0A-AA1A-AF7077FDB1D0}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{6B8E2125-3778-48FE-98BC-EE2EFEF65734}"
HKCR\Clsid\{6B8E2125-3778-48FE-98BC-EE2EFEF65734}
Restoring Windows certificates.
Replaced hosts file with default windows hosts file
Restoring SeDebugPrivilege for Administratoren - Succeeded
2. stelle den CleanUp genauso ein, wie hier angegeben - erledigt!
3. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
System:
18.06.2006 15:09 1.125.891 WindowsUpdate.log
18.06.2006 15:03 0 0.log
18.06.2006 15:03 157 wiadebug.log
18.06.2006 15:03 50 wiaservc.log
18.06.2006 15:03 2.048 bootstat.dat
18.06.2006 13:44 32.560 SchedLgU.Txt
18.06.2006 04:15 227 system.ini
18.06.2006 04:15 638 win.ini
18.06.2006 04:12 143.698 KB896428.log
18.06.2006 04:11 48.473 KB835409.log
18.06.2006 04:10 166.789 KB908519.log
18.06.2006 04:10 380.122 comsetup.log
18.06.2006 04:10 134.394 iis6.log
18.06.2006 04:10 227.511 ntdtcsetup.log
18.06.2006 04:10 1.374 imsins.log
18.06.2006 04:10 412.403 tsoc.log
18.06.2006 04:10 16.132 KB914389.log
18.06.2006 04:10 609.273 ocgen.log
18.06.2006 04:10 48.729 ocmsn.log
18.06.2006 04:10 50.675 msgsocm.log
18.06.2006 04:10 918.905 FaxSetup.log
18.06.2006 04:10 528.750 setupapi.log
18.06.2006 04:10 40.552 updspapi.log
18.06.2006 04:10 154.841 KB890859.log
17.06.2006 13:34 4.092 setupact.log
17.06.2006 11:11 3.895 KB911927.log
17.06.2006 11:11 4.171 KB911562.log
17.06.2006 11:11 3.703 KB917344.log
17.06.2006 11:11 3.600 KB917953.log
17.06.2006 11:11 3.517 KB908531.log
17.06.2006 11:10 12.482 KB913580.log
17.06.2006 11:08 157.011 KB912919.log
17.06.2006 11:07 136.821 KB901214.log
17.06.2006 11:07 137.124 KB896358.log
17.06.2006 11:07 155.718 KB900725.log
17.06.2006 11:07 35.192 KB905495.log
17.06.2006 11:07 36.674 KB890046.log
17.06.2006 11:07 48.684 KB899587.log
17.06.2006 11:07 149.851 KB905414.log
17.06.2006 11:07 143.063 KB893756.log
17.06.2006 11:07 59.638 KB901017.log
17.06.2006 11:07 138.611 KB896423.log
17.06.2006 11:07 63.733 KB902400.log
17.06.2006 11:07 41.342 KB896422.log
17.06.2006 11:07 142.421 KB899591.log
17.06.2006 11:06 153.219 KB896424.log
17.06.2006 11:06 39.387 KB885835.log
17.06.2006 11:06 124.020 KB888302.log
17.06.2006 11:06 32.779 KB891781.log
17.06.2006 11:06 25.870 KB885836.log
17.06.2006 11:06 33.172 KB888113.log
17.06.2006 11:06 123.494 KB873339.log
17.06.2006 11:05 154.995 KB904706.log
17.06.2006 11:05 148.592 KB905749.log
17.06.2006 10:57 20.522 LUINSTALL.LOG
17.06.2006 10:52 536.403.968 MEMORY.DMP
17.06.2006 06:10 88.501 wmsetup.log
17.06.2006 05:49 1.374 imsins.BAK
17.06.2006 05:49 26.477 KB842773.log
07.06.2006 21:30 7.429 OEWABLog.txt
07.06.2006 17:31 41.208 KB893803v2.log
17.05.2006 20:14 1.246 cdPlayer.ini
06.05.2006 09:09 228 wmsetup10.log
04.05.2006 07:51 121 GEARInstall.log
23.04.2006 16:38 0 setuperr.log
02.04.2006 19:31 463 WINNT32.LOG
02.04.2006 19:31 2.905 DHCPUPG.LOG
02.04.2006 19:29 964 UPGRADE.TXT
02.04.2006 19:29 28.424 wsdu.log
13.03.2006 08:41 400 ODBC.INI
Systemtemp:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884B-07AE
Verzeichnis von C:\DOKUME~1\Stefan\LOKALE~1\Temp
System32:
Verzeichnis von C:\WINDOWS\system32
18.06.2006 15:03 43.573 nvapps.xml
18.06.2006 15:03 11.264 ixt0.dll
18.06.2006 15:03 5.120 ismon.exe
18.06.2006 11:03 19.968 issearch.exe
18.06.2006 04:14 258.248 FNTCACHE.DAT
17.06.2006 10:16 13.646 wpa.dbl
17.06.2006 06:06 7.744 isnotify.exe
17.06.2006 06:04 28.180 ishost.exe
08.06.2006 19:05 100 LuResult.txt
08.06.2006 12:08 161.472 SymRedir.dll
08.06.2006 12:08 534.208 SymNeti.dll
06.06.2006 19:04 75 i
28.05.2006 19:28 0 eraseme_83446.exe
19.05.2006 16:51 0 eraseme_01480.exe
16.05.2006 17:55 0 eraseme_68088.exe
16.05.2006 14:34 87.808 S32EVNT1.DLL
06.05.2006 09:10 16.832 amcompat.tlb
06.05.2006 09:10 23.392 nscompat.tlb
19.04.2006 18:15 0 eraseme_33567.exe
13.04.2006 17:36 0 systemconfig32.exe
26.03.2006 19:35 311.604 perfh009.dat
26.03.2006 19:35 48.156 perfc007.dat
26.03.2006 19:35 39.992 perfc009.dat
26.03.2006 19:35 316.594 perfh007.dat
26.03.2006 19:35 723.744 PerfStringBackup.INI
14.03.2006 20:38 0 spdauth.exe
Sys:
18.06.2006 15:12 0 sys.txt
18.06.2006 15:11 11.481 system.txt
18.06.2006 15:11 134 systemtemp.txt
18.06.2006 15:11 97.922 system32.txt
18.06.2006 15:03 805.306.368 pagefile.sys
18.06.2006 04:15 211 boot.ini
17.06.2006 19:26 3.676 DirDPF.txt
17.06.2006 19:26 2 DirDPFCns.txt
17.06.2006 13:34 1.517 rapport.txt
16.06.2006 20:40 760.393 threatalerts.txt
08.01.2006 17:57 0 DBS.TXT
4.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip[/quote]
10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884B-07AE
Verzeichnis von C:\WINDOWS\Downloaded Program Files
17.05.2006 14:32 231.072 avsniff.dll
17.05.2006 14:29 878 avsniff.inf
17.05.2006 14:32 198.304 avsniffdlgs.dll
17.05.2006 14:29 241 CabSA.inf
01.06.2006 01:00 2.504 catalog.dat
17.06.2006 10:48 <DIR> CONFLICT.1
24.05.2004 11:54 106.496 dwnldr.dll
27.02.2004 04:53 301 dwnldr.inf
01.06.2006 01:00 6.899 ecbootil.vxd
01.06.2006 01:00 288.424 ecmsvr32.dll
24.01.2005 12:38 1.249 erma.inf
09.06.2005 12:05 86.808 HPGetDownloadManager.ocx
25.08.2003 19:12 1.096 iuctl.inf
02.09.2005 10:05 578 kavwebscan.inf
25.01.2006 13:43 367 LegitCheckControl.inf
27.10.2004 14:10 111.752 LSSupCtl.dll
05.04.2006 16:12 63.056 MusicManagerUnInstaller.exe
26.05.2005 05:19 293 muweb.inf
17.05.2006 14:28 6.850 navapi.vxd
17.05.2006 14:28 201.896 navapi32.dll
01.06.2006 01:00 124.584 naveng32.dll
01.06.2006 01:00 837.288 navex32a.dll
17.05.2006 14:32 161.480 rufsi.dll
01.06.2006 01:00 97.488 scrauth.dat
21.09.2001 16:28 16.202 sdclicense.txt
04.11.2005 17:32 815 SISTransfer.inf
27.08.2005 14:30 5.065 swflash.inf
14.11.2005 13:40 161.384 SymAData.dll
01.06.2006 01:00 8.145 symaveng.cat
01.06.2006 01:00 901 symaveng.inf
01.06.2006 01:00 47.087 tcdefs.dat
01.06.2006 01:00 758.915 tcscan7.dat
01.06.2006 01:00 295.722 tcscan8.dat
01.06.2006 01:00 599.804 tcscan9.dat
17.06.2005 01:25 1.069.056 tgctlsi.dll
17.06.2005 01:25 413.696 tgctlsr.dll
01.06.2006 01:00 453 tinf.dat
01.06.2006 01:00 148 tinfidx.dat
01.06.2006 01:00 1.957 tinfl.dat
01.06.2006 01:00 54.035 tscan1.dat
01.06.2006 01:00 1.237 tscan1hd.dat
01.06.2006 01:00 5.516 v.grd
01.06.2006 01:00 2.249 v.sig
01.06.2006 01:00 106.244 virscan.inf
01.06.2006 01:00 954.985 virscan1.dat
01.06.2006 01:00 569.514 virscan2.dat
01.06.2006 01:00 146.036 virscan3.dat
01.06.2006 01:00 320.105 virscan4.dat
01.06.2006 01:00 2.419.875 virscan5.dat
01.06.2006 01:00 388.739 virscan6.dat
01.06.2006 01:00 3.767.038 virscan7.dat
01.06.2006 01:00 1.542.955 virscan8.dat
01.06.2006 01:00 3.297.889 virscan9.dat
01.06.2006 01:00 32 virscant.dat
06.06.2006 22:09 2.072 vscanmsx.dat
01.06.2006 01:00 224 zdone.dat
55 Datei(en) 19.487.999 Bytes
Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.1
17.06.2006 10:48 <DIR> .
17.06.2006 10:48 <DIR> ..
27.10.2004 14:10 111.752 LSSupCtl.dll
27.10.2004 14:03 302 LSSupCtl.inf
21.09.2001 16:28 16.202 sdclicense.txt
17.06.2005 01:25 1.069.056 tgctlsi.dll
17.06.2005 00:41 667 tgctlsi.inf
17.06.2005 01:25 413.696 tgctlsr.dll
17.06.2005 00:41 521 tgctlsr.inf
7 Datei(en) 1.612.196 Bytes
Anzahl der angezeigten Dateien:
62 Datei(en) 21.100.195 Bytes
3 Verzeichnis(se), 68.209.008.640 Bytes frei
10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884B-07AE
Verzeichnis von C:\WINDOWS\Downloaded Program Files
17.05.2006 14:32 231.072 avsniff.dll
17.05.2006 14:29 878 avsniff.inf
17.05.2006 14:32 198.304 avsniffdlgs.dll
17.05.2006 14:29 241 CabSA.inf
01.06.2006 01:00 2.504 catalog.dat
17.06.2006 10:48 <DIR> CONFLICT.1
24.05.2004 11:54 106.496 dwnldr.dll
27.02.2004 04:53 301 dwnldr.inf
01.06.2006 01:00 6.899 ecbootil.vxd
01.06.2006 01:00 288.424 ecmsvr32.dll
24.01.2005 12:38 1.249 erma.inf
09.06.2005 12:05 86.808 HPGetDownloadManager.ocx
25.08.2003 19:12 1.096 iuctl.inf
02.09.2005 10:05 578 kavwebscan.inf
25.01.2006 13:43 367 LegitCheckControl.inf
27.10.2004 14:10 111.752 LSSupCtl.dll
05.04.2006 16:12 63.056 MusicManagerUnInstaller.exe
26.05.2005 05:19 293 muweb.inf
17.05.2006 14:28 6.850 navapi.vxd
17.05.2006 14:28 201.896 navapi32.dll
01.06.2006 01:00 124.584 naveng32.dll
01.06.2006 01:00 837.288 navex32a.dll
17.05.2006 14:32 161.480 rufsi.dll
01.06.2006 01:00 97.488 scrauth.dat
21.09.2001 16:28 16.202 sdclicense.txt
04.11.2005 17:32 815 SISTransfer.inf
27.08.2005 14:30 5.065 swflash.inf
14.11.2005 13:40 161.384 SymAData.dll
01.06.2006 01:00 8.145 symaveng.cat
01.06.2006 01:00 901 symaveng.inf
01.06.2006 01:00 47.087 tcdefs.dat
01.06.2006 01:00 758.915 tcscan7.dat
01.06.2006 01:00 295.722 tcscan8.dat
01.06.2006 01:00 599.804 tcscan9.dat
17.06.2005 01:25 1.069.056 tgctlsi.dll
17.06.2005 01:25 413.696 tgctlsr.dll
01.06.2006 01:00 453 tinf.dat
01.06.2006 01:00 148 tinfidx.dat
01.06.2006 01:00 1.957 tinfl.dat
01.06.2006 01:00 54.035 tscan1.dat
01.06.2006 01:00 1.237 tscan1hd.dat
01.06.2006 01:00 5.516 v.grd
01.06.2006 01:00 2.249 v.sig
01.06.2006 01:00 106.244 virscan.inf
01.06.2006 01:00 954.985 virscan1.dat
01.06.2006 01:00 569.514 virscan2.dat
01.06.2006 01:00 146.036 virscan3.dat
01.06.2006 01:00 320.105 virscan4.dat
01.06.2006 01:00 2.419.875 virscan5.dat
01.06.2006 01:00 388.739 virscan6.dat
01.06.2006 01:00 3.767.038 virscan7.dat
01.06.2006 01:00 1.542.955 virscan8.dat
01.06.2006 01:00 3.297.889 virscan9.dat
01.06.2006 01:00 32 virscant.dat
06.06.2006 22:09 2.072 vscanmsx.dat
01.06.2006 01:00 224 zdone.dat
55 Datei(en) 19.487.999 Bytes
Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.1
17.06.2006 10:48 <DIR> .
17.06.2006 10:48 <DIR> ..
27.10.2004 14:10 111.752 LSSupCtl.dll
27.10.2004 14:03 302 LSSupCtl.inf
21.09.2001 16:28 16.202 sdclicense.txt
17.06.2005 01:25 1.069.056 tgctlsi.dll
17.06.2005 00:41 667 tgctlsi.inf
17.06.2005 01:25 413.696 tgctlsr.dll
17.06.2005 00:41 521 tgctlsr.inf
7 Datei(en) 1.612.196 Bytes
Anzahl der angezeigten Dateien:
62 Datei(en) 21.100.195 Bytes
3 Verzeichnis(se), 68.172.959.744 Bytes frei
Voila!
Look2Me-Destroyer V1.0.12
Scanning for infected files.....
Scan started at 18.6.2006 14:42:05
Infected! C:\WINDOWS\system32\mvp8l97u1.dll
Infected! C:\WINDOWS\system32\mvp8l97u1.dll
Attempting to delete infected files...
Making registry repairs.
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Telephony
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WindowsUpdate
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{36635965-9AF3-4E82-9B3B-91453FFC7C35}"
HKCR\Clsid\{36635965-9AF3-4E82-9B3B-91453FFC7C35}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{EA4C255A-7D3F-49EC-9AA1-C06A1E819E48}"
HKCR\Clsid\{EA4C255A-7D3F-49EC-9AA1-C06A1E819E48}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{6222C7BC-834D-41DF-BD3E-D9DC6974A8F9}"
HKCR\Clsid\{6222C7BC-834D-41DF-BD3E-D9DC6974A8F9}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{E3B4AA83-C859-4BCF-B080-55E10648A3DB}"
HKCR\Clsid\{E3B4AA83-C859-4BCF-B080-55E10648A3DB}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{68B3B034-5607-4F8C-9C56-BE784962182F}"
HKCR\Clsid\{68B3B034-5607-4F8C-9C56-BE784962182F}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{337F587D-9F5F-406E-88AB-341720C8F5BE}"
HKCR\Clsid\{337F587D-9F5F-406E-88AB-341720C8F5BE}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{5A9308FC-5061-482C-B05D-E436757C0B5A}"
HKCR\Clsid\{5A9308FC-5061-482C-B05D-E436757C0B5A}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{A94C2011-A85A-468A-A2EA-2ABDA34E6FBE}"
HKCR\Clsid\{A94C2011-A85A-468A-A2EA-2ABDA34E6FBE}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{9F835ECE-A2BB-4BFA-891B-14C265F38C14}"
HKCR\Clsid\{9F835ECE-A2BB-4BFA-891B-14C265F38C14}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{3FAE8718-EE7A-4C0A-AA1A-AF7077FDB1D0}"
HKCR\Clsid\{3FAE8718-EE7A-4C0A-AA1A-AF7077FDB1D0}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{6B8E2125-3778-48FE-98BC-EE2EFEF65734}"
HKCR\Clsid\{6B8E2125-3778-48FE-98BC-EE2EFEF65734}
Restoring Windows certificates.
Replaced hosts file with default windows hosts file
Restoring SeDebugPrivilege for Administratoren - Succeeded
2. stelle den CleanUp genauso ein, wie hier angegeben - erledigt!
3. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
System:
18.06.2006 15:09 1.125.891 WindowsUpdate.log
18.06.2006 15:03 0 0.log
18.06.2006 15:03 157 wiadebug.log
18.06.2006 15:03 50 wiaservc.log
18.06.2006 15:03 2.048 bootstat.dat
18.06.2006 13:44 32.560 SchedLgU.Txt
18.06.2006 04:15 227 system.ini
18.06.2006 04:15 638 win.ini
18.06.2006 04:12 143.698 KB896428.log
18.06.2006 04:11 48.473 KB835409.log
18.06.2006 04:10 166.789 KB908519.log
18.06.2006 04:10 380.122 comsetup.log
18.06.2006 04:10 134.394 iis6.log
18.06.2006 04:10 227.511 ntdtcsetup.log
18.06.2006 04:10 1.374 imsins.log
18.06.2006 04:10 412.403 tsoc.log
18.06.2006 04:10 16.132 KB914389.log
18.06.2006 04:10 609.273 ocgen.log
18.06.2006 04:10 48.729 ocmsn.log
18.06.2006 04:10 50.675 msgsocm.log
18.06.2006 04:10 918.905 FaxSetup.log
18.06.2006 04:10 528.750 setupapi.log
18.06.2006 04:10 40.552 updspapi.log
18.06.2006 04:10 154.841 KB890859.log
17.06.2006 13:34 4.092 setupact.log
17.06.2006 11:11 3.895 KB911927.log
17.06.2006 11:11 4.171 KB911562.log
17.06.2006 11:11 3.703 KB917344.log
17.06.2006 11:11 3.600 KB917953.log
17.06.2006 11:11 3.517 KB908531.log
17.06.2006 11:10 12.482 KB913580.log
17.06.2006 11:08 157.011 KB912919.log
17.06.2006 11:07 136.821 KB901214.log
17.06.2006 11:07 137.124 KB896358.log
17.06.2006 11:07 155.718 KB900725.log
17.06.2006 11:07 35.192 KB905495.log
17.06.2006 11:07 36.674 KB890046.log
17.06.2006 11:07 48.684 KB899587.log
17.06.2006 11:07 149.851 KB905414.log
17.06.2006 11:07 143.063 KB893756.log
17.06.2006 11:07 59.638 KB901017.log
17.06.2006 11:07 138.611 KB896423.log
17.06.2006 11:07 63.733 KB902400.log
17.06.2006 11:07 41.342 KB896422.log
17.06.2006 11:07 142.421 KB899591.log
17.06.2006 11:06 153.219 KB896424.log
17.06.2006 11:06 39.387 KB885835.log
17.06.2006 11:06 124.020 KB888302.log
17.06.2006 11:06 32.779 KB891781.log
17.06.2006 11:06 25.870 KB885836.log
17.06.2006 11:06 33.172 KB888113.log
17.06.2006 11:06 123.494 KB873339.log
17.06.2006 11:05 154.995 KB904706.log
17.06.2006 11:05 148.592 KB905749.log
17.06.2006 10:57 20.522 LUINSTALL.LOG
17.06.2006 10:52 536.403.968 MEMORY.DMP
17.06.2006 06:10 88.501 wmsetup.log
17.06.2006 05:49 1.374 imsins.BAK
17.06.2006 05:49 26.477 KB842773.log
07.06.2006 21:30 7.429 OEWABLog.txt
07.06.2006 17:31 41.208 KB893803v2.log
17.05.2006 20:14 1.246 cdPlayer.ini
06.05.2006 09:09 228 wmsetup10.log
04.05.2006 07:51 121 GEARInstall.log
23.04.2006 16:38 0 setuperr.log
02.04.2006 19:31 463 WINNT32.LOG
02.04.2006 19:31 2.905 DHCPUPG.LOG
02.04.2006 19:29 964 UPGRADE.TXT
02.04.2006 19:29 28.424 wsdu.log
13.03.2006 08:41 400 ODBC.INI
Systemtemp:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884B-07AE
Verzeichnis von C:\DOKUME~1\Stefan\LOKALE~1\Temp
System32:
Verzeichnis von C:\WINDOWS\system32
18.06.2006 15:03 43.573 nvapps.xml
18.06.2006 15:03 11.264 ixt0.dll
18.06.2006 15:03 5.120 ismon.exe
18.06.2006 11:03 19.968 issearch.exe
18.06.2006 04:14 258.248 FNTCACHE.DAT
17.06.2006 10:16 13.646 wpa.dbl
17.06.2006 06:06 7.744 isnotify.exe
17.06.2006 06:04 28.180 ishost.exe
08.06.2006 19:05 100 LuResult.txt
08.06.2006 12:08 161.472 SymRedir.dll
08.06.2006 12:08 534.208 SymNeti.dll
06.06.2006 19:04 75 i
28.05.2006 19:28 0 eraseme_83446.exe
19.05.2006 16:51 0 eraseme_01480.exe
16.05.2006 17:55 0 eraseme_68088.exe
16.05.2006 14:34 87.808 S32EVNT1.DLL
06.05.2006 09:10 16.832 amcompat.tlb
06.05.2006 09:10 23.392 nscompat.tlb
19.04.2006 18:15 0 eraseme_33567.exe
13.04.2006 17:36 0 systemconfig32.exe
26.03.2006 19:35 311.604 perfh009.dat
26.03.2006 19:35 48.156 perfc007.dat
26.03.2006 19:35 39.992 perfc009.dat
26.03.2006 19:35 316.594 perfh007.dat
26.03.2006 19:35 723.744 PerfStringBackup.INI
14.03.2006 20:38 0 spdauth.exe
Sys:
18.06.2006 15:12 0 sys.txt
18.06.2006 15:11 11.481 system.txt
18.06.2006 15:11 134 systemtemp.txt
18.06.2006 15:11 97.922 system32.txt
18.06.2006 15:03 805.306.368 pagefile.sys
18.06.2006 04:15 211 boot.ini
17.06.2006 19:26 3.676 DirDPF.txt
17.06.2006 19:26 2 DirDPFCns.txt
17.06.2006 13:34 1.517 rapport.txt
16.06.2006 20:40 760.393 threatalerts.txt
08.01.2006 17:57 0 DBS.TXT
4.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip[/quote]
10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884B-07AE
Verzeichnis von C:\WINDOWS\Downloaded Program Files
17.05.2006 14:32 231.072 avsniff.dll
17.05.2006 14:29 878 avsniff.inf
17.05.2006 14:32 198.304 avsniffdlgs.dll
17.05.2006 14:29 241 CabSA.inf
01.06.2006 01:00 2.504 catalog.dat
17.06.2006 10:48 <DIR> CONFLICT.1
24.05.2004 11:54 106.496 dwnldr.dll
27.02.2004 04:53 301 dwnldr.inf
01.06.2006 01:00 6.899 ecbootil.vxd
01.06.2006 01:00 288.424 ecmsvr32.dll
24.01.2005 12:38 1.249 erma.inf
09.06.2005 12:05 86.808 HPGetDownloadManager.ocx
25.08.2003 19:12 1.096 iuctl.inf
02.09.2005 10:05 578 kavwebscan.inf
25.01.2006 13:43 367 LegitCheckControl.inf
27.10.2004 14:10 111.752 LSSupCtl.dll
05.04.2006 16:12 63.056 MusicManagerUnInstaller.exe
26.05.2005 05:19 293 muweb.inf
17.05.2006 14:28 6.850 navapi.vxd
17.05.2006 14:28 201.896 navapi32.dll
01.06.2006 01:00 124.584 naveng32.dll
01.06.2006 01:00 837.288 navex32a.dll
17.05.2006 14:32 161.480 rufsi.dll
01.06.2006 01:00 97.488 scrauth.dat
21.09.2001 16:28 16.202 sdclicense.txt
04.11.2005 17:32 815 SISTransfer.inf
27.08.2005 14:30 5.065 swflash.inf
14.11.2005 13:40 161.384 SymAData.dll
01.06.2006 01:00 8.145 symaveng.cat
01.06.2006 01:00 901 symaveng.inf
01.06.2006 01:00 47.087 tcdefs.dat
01.06.2006 01:00 758.915 tcscan7.dat
01.06.2006 01:00 295.722 tcscan8.dat
01.06.2006 01:00 599.804 tcscan9.dat
17.06.2005 01:25 1.069.056 tgctlsi.dll
17.06.2005 01:25 413.696 tgctlsr.dll
01.06.2006 01:00 453 tinf.dat
01.06.2006 01:00 148 tinfidx.dat
01.06.2006 01:00 1.957 tinfl.dat
01.06.2006 01:00 54.035 tscan1.dat
01.06.2006 01:00 1.237 tscan1hd.dat
01.06.2006 01:00 5.516 v.grd
01.06.2006 01:00 2.249 v.sig
01.06.2006 01:00 106.244 virscan.inf
01.06.2006 01:00 954.985 virscan1.dat
01.06.2006 01:00 569.514 virscan2.dat
01.06.2006 01:00 146.036 virscan3.dat
01.06.2006 01:00 320.105 virscan4.dat
01.06.2006 01:00 2.419.875 virscan5.dat
01.06.2006 01:00 388.739 virscan6.dat
01.06.2006 01:00 3.767.038 virscan7.dat
01.06.2006 01:00 1.542.955 virscan8.dat
01.06.2006 01:00 3.297.889 virscan9.dat
01.06.2006 01:00 32 virscant.dat
06.06.2006 22:09 2.072 vscanmsx.dat
01.06.2006 01:00 224 zdone.dat
55 Datei(en) 19.487.999 Bytes
Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.1
17.06.2006 10:48 <DIR> .
17.06.2006 10:48 <DIR> ..
27.10.2004 14:10 111.752 LSSupCtl.dll
27.10.2004 14:03 302 LSSupCtl.inf
21.09.2001 16:28 16.202 sdclicense.txt
17.06.2005 01:25 1.069.056 tgctlsi.dll
17.06.2005 00:41 667 tgctlsi.inf
17.06.2005 01:25 413.696 tgctlsr.dll
17.06.2005 00:41 521 tgctlsr.inf
7 Datei(en) 1.612.196 Bytes
Anzahl der angezeigten Dateien:
62 Datei(en) 21.100.195 Bytes
3 Verzeichnis(se), 68.209.008.640 Bytes frei
10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884B-07AE
Verzeichnis von C:\WINDOWS\Downloaded Program Files
17.05.2006 14:32 231.072 avsniff.dll
17.05.2006 14:29 878 avsniff.inf
17.05.2006 14:32 198.304 avsniffdlgs.dll
17.05.2006 14:29 241 CabSA.inf
01.06.2006 01:00 2.504 catalog.dat
17.06.2006 10:48 <DIR> CONFLICT.1
24.05.2004 11:54 106.496 dwnldr.dll
27.02.2004 04:53 301 dwnldr.inf
01.06.2006 01:00 6.899 ecbootil.vxd
01.06.2006 01:00 288.424 ecmsvr32.dll
24.01.2005 12:38 1.249 erma.inf
09.06.2005 12:05 86.808 HPGetDownloadManager.ocx
25.08.2003 19:12 1.096 iuctl.inf
02.09.2005 10:05 578 kavwebscan.inf
25.01.2006 13:43 367 LegitCheckControl.inf
27.10.2004 14:10 111.752 LSSupCtl.dll
05.04.2006 16:12 63.056 MusicManagerUnInstaller.exe
26.05.2005 05:19 293 muweb.inf
17.05.2006 14:28 6.850 navapi.vxd
17.05.2006 14:28 201.896 navapi32.dll
01.06.2006 01:00 124.584 naveng32.dll
01.06.2006 01:00 837.288 navex32a.dll
17.05.2006 14:32 161.480 rufsi.dll
01.06.2006 01:00 97.488 scrauth.dat
21.09.2001 16:28 16.202 sdclicense.txt
04.11.2005 17:32 815 SISTransfer.inf
27.08.2005 14:30 5.065 swflash.inf
14.11.2005 13:40 161.384 SymAData.dll
01.06.2006 01:00 8.145 symaveng.cat
01.06.2006 01:00 901 symaveng.inf
01.06.2006 01:00 47.087 tcdefs.dat
01.06.2006 01:00 758.915 tcscan7.dat
01.06.2006 01:00 295.722 tcscan8.dat
01.06.2006 01:00 599.804 tcscan9.dat
17.06.2005 01:25 1.069.056 tgctlsi.dll
17.06.2005 01:25 413.696 tgctlsr.dll
01.06.2006 01:00 453 tinf.dat
01.06.2006 01:00 148 tinfidx.dat
01.06.2006 01:00 1.957 tinfl.dat
01.06.2006 01:00 54.035 tscan1.dat
01.06.2006 01:00 1.237 tscan1hd.dat
01.06.2006 01:00 5.516 v.grd
01.06.2006 01:00 2.249 v.sig
01.06.2006 01:00 106.244 virscan.inf
01.06.2006 01:00 954.985 virscan1.dat
01.06.2006 01:00 569.514 virscan2.dat
01.06.2006 01:00 146.036 virscan3.dat
01.06.2006 01:00 320.105 virscan4.dat
01.06.2006 01:00 2.419.875 virscan5.dat
01.06.2006 01:00 388.739 virscan6.dat
01.06.2006 01:00 3.767.038 virscan7.dat
01.06.2006 01:00 1.542.955 virscan8.dat
01.06.2006 01:00 3.297.889 virscan9.dat
01.06.2006 01:00 32 virscant.dat
06.06.2006 22:09 2.072 vscanmsx.dat
01.06.2006 01:00 224 zdone.dat
55 Datei(en) 19.487.999 Bytes
Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.1
17.06.2006 10:48 <DIR> .
17.06.2006 10:48 <DIR> ..
27.10.2004 14:10 111.752 LSSupCtl.dll
27.10.2004 14:03 302 LSSupCtl.inf
21.09.2001 16:28 16.202 sdclicense.txt
17.06.2005 01:25 1.069.056 tgctlsi.dll
17.06.2005 00:41 667 tgctlsi.inf
17.06.2005 01:25 413.696 tgctlsr.dll
17.06.2005 00:41 521 tgctlsr.inf
7 Datei(en) 1.612.196 Bytes
Anzahl der angezeigten Dateien:
62 Datei(en) 21.100.195 Bytes
3 Verzeichnis(se), 68.172.959.744 Bytes frei
Voila!
- xspider
- Beiträge: 15
- Registriert: 14.02.2006, 19:47
von Nikita am 18.06.2006, 16:01
0.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)
spdauth
in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
in: "Enter search strings" (reinschreiben oder reinkopieren)
RDRIV
in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
Information:
http://www.trendmicro.com/vinfo/virusen ... FH&VSect=T
------------------------------------------------------------------------------------------
1.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei
(hier posten)
2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
**
3.
poste das log vom Avenger, was erscheint
**
4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
PC neustarten
5.
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml
1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)
spdauth
in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
in: "Enter search strings" (reinschreiben oder reinkopieren)
RDRIV
in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
Information:
http://www.trendmicro.com/vinfo/virusen ... FH&VSect=T
------------------------------------------------------------------------------------------
1.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei
(hier posten)
2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:
Files to delete:
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\i
C:\WINDOWS\system32\eraseme_83446.exe
C:\WINDOWS\system32\eraseme_01480.exe
C:\WINDOWS\system32\eraseme_68088.exe
C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\eraseme_33567.exe
C:\WINDOWS\system32\systemconfig32.exe
C:\WINDOWS\system32\spdauth.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
**
3.
poste das log vom Avenger, was erscheint
**
4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
O2 - BHO: (no name) - {7fcf04b6-6354-47ef-b45e-a48268e92757} - C:\WINDOWS\System32\ixt0.dll
O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\mvp8l97u1.dll (file missing)
O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\mvp8l97u1.dll (file missing)
PC neustarten
5.
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml
1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von xspider am 18.06.2006, 17:58
Vielen Dank! Hat funktioniert! Alles läuft wieder einwandfrei!
Hier noch die Reports:
Avenger:
/////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Error: could not initiate system shutdown.
Error code: 0
Error: could not initiate system shutdown.
Error code: 0
//////////////////////////////////////////
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ngwejuxx
*******************
Script file located at: \??\C:\WINDOWS\System32\sluqrrwp.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\nvapps.xml deleted successfully.
File C:\WINDOWS\system32\ixt0.dll deleted successfully.
File C:\WINDOWS\system32\ismon.exe deleted successfully.
File C:\WINDOWS\system32\issearch.exe deleted successfully.
File C:\WINDOWS\system32\isnotify.exe deleted successfully.
File C:\WINDOWS\system32\ishost.exe deleted successfully.
File C:\WINDOWS\system32\i deleted successfully.
File C:\WINDOWS\system32\eraseme_83446.exe deleted successfully.
File C:\WINDOWS\system32\eraseme_01480.exe deleted successfully.
File C:\WINDOWS\system32\eraseme_68088.exe deleted successfully.
File C:\WINDOWS\system32\amcompat.tlb deleted successfully.
File C:\WINDOWS\system32\nscompat.tlb deleted successfully.
File C:\WINDOWS\system32\eraseme_33567.exe deleted successfully.
File C:\WINDOWS\system32\systemconfig32.exe deleted successfully.
File C:\WINDOWS\system32\spdauth.exe deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
F-Secure Blacklight:
/18/06 16:29:29 [Info]: BlackLight Engine 1.0.37 initialized
06/18/06 16:29:29 [Info]: OS: 5.1 build 2600 (Service Pack 1)
06/18/06 16:29:29 [Note]: 7019 4
06/18/06 16:29:29 [Note]: 7005 0
06/18/06 16:29:31 [Note]: 7006 0
06/18/06 16:29:31 [Note]: 7011 1460
06/18/06 16:29:32 [Note]: 7026 0
06/18/06 16:29:32 [Note]: 7026 0
06/18/06 16:29:41 [Note]: FSRAW library version 1.7.1015
06/18/06 16:33:28 [Note]: 2000 1006
06/18/06 16:33:28 [Note]: 2000 1006
06/18/06 16:43:56 [Note]: 7007 0
F-Secure:
Scanning Report
Sunday, June 18, 2006 17:01:15 - 17:48:58
Computer name: WEB-COM
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\
--------------------------------------------------------------------------------
Result: 1 malware found
not-virus:Hoax.Win32.Renos.dp (virus)
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\SYMANTEC\NORTON ANTIVIRUS\QUARANTINE\124E0996.DLL (Submitted)
--------------------------------------------------------------------------------
Statistics
Scanned:
Files: 23448
System: 4098
Not scanned: 3
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 1
Submitted: 1
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCRST.DLL
--------------------------------------------------------------------------------
Options
Scanning engines:
F-Secure AVP: 6.0.171, 2006-06-16
F-Secure Libra: 2.4.1, 2006-06-14
F-Secure Orion: 1.2.37, 2006-06-16
F-Secure Blacklight: 1.0.31, 0000-00-00
F-Secure Pegasus: 1.19.0, 2006-05-14
F-Secure Draco: 1.0.35, 0259-24-212
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
Use Advanced heuristics
Hier noch die Reports:
Avenger:
/////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Error: could not initiate system shutdown.
Error code: 0
Error: could not initiate system shutdown.
Error code: 0
//////////////////////////////////////////
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ngwejuxx
*******************
Script file located at: \??\C:\WINDOWS\System32\sluqrrwp.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\nvapps.xml deleted successfully.
File C:\WINDOWS\system32\ixt0.dll deleted successfully.
File C:\WINDOWS\system32\ismon.exe deleted successfully.
File C:\WINDOWS\system32\issearch.exe deleted successfully.
File C:\WINDOWS\system32\isnotify.exe deleted successfully.
File C:\WINDOWS\system32\ishost.exe deleted successfully.
File C:\WINDOWS\system32\i deleted successfully.
File C:\WINDOWS\system32\eraseme_83446.exe deleted successfully.
File C:\WINDOWS\system32\eraseme_01480.exe deleted successfully.
File C:\WINDOWS\system32\eraseme_68088.exe deleted successfully.
File C:\WINDOWS\system32\amcompat.tlb deleted successfully.
File C:\WINDOWS\system32\nscompat.tlb deleted successfully.
File C:\WINDOWS\system32\eraseme_33567.exe deleted successfully.
File C:\WINDOWS\system32\systemconfig32.exe deleted successfully.
File C:\WINDOWS\system32\spdauth.exe deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
F-Secure Blacklight:
/18/06 16:29:29 [Info]: BlackLight Engine 1.0.37 initialized
06/18/06 16:29:29 [Info]: OS: 5.1 build 2600 (Service Pack 1)
06/18/06 16:29:29 [Note]: 7019 4
06/18/06 16:29:29 [Note]: 7005 0
06/18/06 16:29:31 [Note]: 7006 0
06/18/06 16:29:31 [Note]: 7011 1460
06/18/06 16:29:32 [Note]: 7026 0
06/18/06 16:29:32 [Note]: 7026 0
06/18/06 16:29:41 [Note]: FSRAW library version 1.7.1015
06/18/06 16:33:28 [Note]: 2000 1006
06/18/06 16:33:28 [Note]: 2000 1006
06/18/06 16:43:56 [Note]: 7007 0
F-Secure:
Scanning Report
Sunday, June 18, 2006 17:01:15 - 17:48:58
Computer name: WEB-COM
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\
--------------------------------------------------------------------------------
Result: 1 malware found
not-virus:Hoax.Win32.Renos.dp (virus)
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\SYMANTEC\NORTON ANTIVIRUS\QUARANTINE\124E0996.DLL (Submitted)
--------------------------------------------------------------------------------
Statistics
Scanned:
Files: 23448
System: 4098
Not scanned: 3
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 1
Submitted: 1
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCRST.DLL
--------------------------------------------------------------------------------
Options
Scanning engines:
F-Secure AVP: 6.0.171, 2006-06-16
F-Secure Libra: 2.4.1, 2006-06-14
F-Secure Orion: 1.2.37, 2006-06-16
F-Secure Blacklight: 1.0.31, 0000-00-00
F-Secure Pegasus: 1.19.0, 2006-05-14
F-Secure Draco: 1.0.35, 0259-24-212
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
Use Advanced heuristics
- xspider
- Beiträge: 15
- Registriert: 14.02.2006, 19:47
von Nikita am 18.06.2006, 18:16
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
http://virus-protect.org/onlinescan.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von xspider am 18.06.2006, 19:11
Hier der Kasperski Report - klingt nicht so gut...:
KASPERSKY ON-LINE SCANNER REPORT
Sunday, June 18, 2006 7:09:14 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 18/06/2006
Kaspersky Anti-Virus database records: 189185
Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
A:\
C:\
D:\
E:\
Scan Statistics
Total number of scanned objects 58373
Number of viruses found 7
Number of infected objects 10
Number of suspicious objects 4
Duration of the scan process 00:43:00
Infected Object Name Virus Name Last Action
C:\avenger\backup.zip/avenger/i Infected: Trojan-Downloader.BAT.Ftp.ab skipped
C:\avenger\backup.zip/avenger/ishost.exe Infected: Trojan-Downloader.Win32.Zlob.tv skipped
C:\avenger\backup.zip/avenger/ismon.exe Infected: Trojan-Downloader.Win32.Zlob.tv skipped
C:\avenger\backup.zip ZIP: infected - 3 skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC12.zip/MTE3NDI6ODoxNg.exe Suspicious: Password-protected-EXE skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC12.zip ZIP: suspicious - 1 skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC8.zip/MTE3NDI6ODoxNg.exe Suspicious: Password-protected-EXE skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC8.zip ZIP: suspicious - 1 skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\124E0996.dll Infected: not-virus:Hoax.Win32.Renos.dp skipped
C:\RECYCLER\NPROTECT\00089521.dll Infected: Trojan.WinREG.StartPage.aka skipped
C:\WINDOWS\ab1.exe/WISE0005.BIN Infected: Trojan-Downloader.Win32.Agent.ct skipped
C:\WINDOWS\ab1.exe WiseSFX: infected - 1 skipped
C:\WINDOWS\syswast.exe/WISE0007.BIN Infected: Trojan-Downloader.Win32.VB.ah skipped
C:\WINDOWS\syswast.exe WiseSFX: infected - 1 skipped
Scan process completed.
KASPERSKY ON-LINE SCANNER REPORT
Sunday, June 18, 2006 7:09:14 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 18/06/2006
Kaspersky Anti-Virus database records: 189185
Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
A:\
C:\
D:\
E:\
Scan Statistics
Total number of scanned objects 58373
Number of viruses found 7
Number of infected objects 10
Number of suspicious objects 4
Duration of the scan process 00:43:00
Infected Object Name Virus Name Last Action
C:\avenger\backup.zip/avenger/i Infected: Trojan-Downloader.BAT.Ftp.ab skipped
C:\avenger\backup.zip/avenger/ishost.exe Infected: Trojan-Downloader.Win32.Zlob.tv skipped
C:\avenger\backup.zip/avenger/ismon.exe Infected: Trojan-Downloader.Win32.Zlob.tv skipped
C:\avenger\backup.zip ZIP: infected - 3 skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC12.zip/MTE3NDI6ODoxNg.exe Suspicious: Password-protected-EXE skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC12.zip ZIP: suspicious - 1 skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC8.zip/MTE3NDI6ODoxNg.exe Suspicious: Password-protected-EXE skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC8.zip ZIP: suspicious - 1 skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\124E0996.dll Infected: not-virus:Hoax.Win32.Renos.dp skipped
C:\RECYCLER\NPROTECT\00089521.dll Infected: Trojan.WinREG.StartPage.aka skipped
C:\WINDOWS\ab1.exe/WISE0005.BIN Infected: Trojan-Downloader.Win32.Agent.ct skipped
C:\WINDOWS\ab1.exe WiseSFX: infected - 1 skipped
C:\WINDOWS\syswast.exe/WISE0007.BIN Infected: Trojan-Downloader.Win32.VB.ah skipped
C:\WINDOWS\syswast.exe WiseSFX: infected - 1 skipped
Scan process completed.
- xspider
- Beiträge: 15
- Registriert: 14.02.2006, 19:47
von Nikita am 18.06.2006, 21:06
kopiere in den avenger:
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
**
deinstalliere -> Safety Bar
**
loesche: C:\Programme\Safety Bar
----------------
**
loesche alle: C:\avenger\backup.zip
**
poste das Log vom Silentrunner
http://virus-protect.org/silentrunner.html
**
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar
Files to delete:
C:\RECYCLER\NPROTECT\00089521.dll
C:\WINDOWS\ab1.exe
C:\WINDOWS\syswast.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
**
deinstalliere -> Safety Bar
**
loesche: C:\Programme\Safety Bar
----------------
**
loesche alle: C:\avenger\backup.zip
**
poste das Log vom Silentrunner
http://virus-protect.org/silentrunner.html
**
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von xspider am 18.06.2006, 21:44
Silent Runner
Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\MSMSGS.EXE" /background" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"ishost.exe" = "ishost.exe" [file not found]
"issearch.exe" = "issearch.exe" [file not found]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"InCD" = "C:\Programme\Ahead\InCD\InCD.exe" ["Ahead Software AG"]
"zBrowser Launcher" = "C:\Programme\Logitech\iTouch\iTouch.exe" ["Logitech Inc."]
"RealTray" = "C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" ["RealNetworks, Inc."]
"Share-to-Web Namespace Daemon" = "C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"]
"mmtask" = ""C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"" ["Musicmatch Inc."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"SSC_UserPrompt" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"" ["Symantec Corporation"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{A8F38D8D-E480-4D52-B7A2-731BB6995FDD}\(Default) = "NAV Helper"
-> {HKLM...CLSID} = "CNavExtBho Class"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
-> {HKLM...CLSID} = "Shell Extension for CDRW"
\InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Ahead Software, Karlsbad, Germany"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\System32\upnpui.dll" [MS]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! WgaLogon\DLLName = "WgaLogon.dll" [MS]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]
Enabled Scheduled Tasks:
------------------------
"Norton AntiVirus - Vollständige Systemprüfung ausführen - Stefan" -> launches: "C:\PROGRA~1\NORTON~2\Navw32.exe /TASK:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]
"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
"{C4069E3A-68F1-403E-B40E-20066696354B}" = "Norton AntiVirus"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Adobe Active File Monitor, AdobeActiveFileMonitor, "C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe" [null data]
Einfache TCP/IP-Dienste, SimpTcp, "C:\WINDOWS\System32\tcpsvcs.exe" [MS]
ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
InCD File System Service, InCDsrv, "C:\Programme\Ahead\InCD\InCDsrv.exe" [null data]
iPodService, iPodService, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
Norton AntiVirus Auto-Protect-Dienst, navapsvc, ""C:\Programme\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
Norton AntiVirus Firewall Monitor Service, NPFMntor, ""C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe"" ["Symantec Corporation"]
Norton Protection Center Service, NSCService, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE"" ["Symantec Corporation"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Photoshop Elements Device Connect, PhotoshopElementsDeviceConnect, "C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe" [null data]
RIP-Überwachung, Iprip, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\iprip.dll" [MS]}
SPBBCSvc, SPBBCSvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe"" ["Symantec Corporation"]
Symantec Core LC, Symantec Core LC, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe"" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzlnt05\Driver = "hpzlnt05.dll" ["HP"]
LPR Port\Driver = "lprmon.dll" [MS]
Redirected Port\Driver = "redmonnt.dll" [null data]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 121 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 88 seconds.
---------- (total run time: 634 seconds)
Panda:
Incident Status Location
Spyware:spyware/betterinet Not disinfected c:\windows\inf\biini.inf
Adware:adware/gator Not disinfected c:\windows\GatorPatch.log
Potentially unwanted tool:application/myway Not disinfected c:\programme\MyWay
Adware:adware/quickbar Not disinfected c:\programme\quickbar
Spyware:spyware/sysren Not disinfected Windows Registry
[/b]
Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\MSMSGS.EXE" /background" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"ishost.exe" = "ishost.exe" [file not found]
"issearch.exe" = "issearch.exe" [file not found]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"InCD" = "C:\Programme\Ahead\InCD\InCD.exe" ["Ahead Software AG"]
"zBrowser Launcher" = "C:\Programme\Logitech\iTouch\iTouch.exe" ["Logitech Inc."]
"RealTray" = "C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" ["RealNetworks, Inc."]
"Share-to-Web Namespace Daemon" = "C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"]
"mmtask" = ""C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"" ["Musicmatch Inc."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"SSC_UserPrompt" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"" ["Symantec Corporation"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{A8F38D8D-E480-4D52-B7A2-731BB6995FDD}\(Default) = "NAV Helper"
-> {HKLM...CLSID} = "CNavExtBho Class"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
-> {HKLM...CLSID} = "Shell Extension for CDRW"
\InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Ahead Software, Karlsbad, Germany"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\System32\upnpui.dll" [MS]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! WgaLogon\DLLName = "WgaLogon.dll" [MS]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]
Enabled Scheduled Tasks:
------------------------
"Norton AntiVirus - Vollständige Systemprüfung ausführen - Stefan" -> launches: "C:\PROGRA~1\NORTON~2\Navw32.exe /TASK:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]
"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
"{C4069E3A-68F1-403E-B40E-20066696354B}" = "Norton AntiVirus"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Adobe Active File Monitor, AdobeActiveFileMonitor, "C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe" [null data]
Einfache TCP/IP-Dienste, SimpTcp, "C:\WINDOWS\System32\tcpsvcs.exe" [MS]
ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
InCD File System Service, InCDsrv, "C:\Programme\Ahead\InCD\InCDsrv.exe" [null data]
iPodService, iPodService, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
Norton AntiVirus Auto-Protect-Dienst, navapsvc, ""C:\Programme\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
Norton AntiVirus Firewall Monitor Service, NPFMntor, ""C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe"" ["Symantec Corporation"]
Norton Protection Center Service, NSCService, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE"" ["Symantec Corporation"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Photoshop Elements Device Connect, PhotoshopElementsDeviceConnect, "C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe" [null data]
RIP-Überwachung, Iprip, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\iprip.dll" [MS]}
SPBBCSvc, SPBBCSvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe"" ["Symantec Corporation"]
Symantec Core LC, Symantec Core LC, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe"" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzlnt05\Driver = "hpzlnt05.dll" ["HP"]
LPR Port\Driver = "lprmon.dll" [MS]
Redirected Port\Driver = "redmonnt.dll" [null data]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 121 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 88 seconds.
---------- (total run time: 634 seconds)
Panda:
Incident Status Location
Spyware:spyware/betterinet Not disinfected c:\windows\inf\biini.inf
Adware:adware/gator Not disinfected c:\windows\GatorPatch.log
Potentially unwanted tool:application/myway Not disinfected c:\programme\MyWay
Adware:adware/quickbar Not disinfected c:\programme\quickbar
Spyware:spyware/sysren Not disinfected Windows Registry
[/b]
- xspider
- Beiträge: 15
- Registriert: 14.02.2006, 19:47
von Nikita am 18.06.2006, 22:34
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen
2.
PC neustarten
3.
Counterspy
http://www.virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove --> Status: Deleted
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
"ishost.exe"=-
"issearch.exe"=-
2.
PC neustarten
3.
Counterspy
http://www.virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove --> Status: Deleted
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von xspider am 19.06.2006, 21:07
1. Fixme-reg habe ich erledigt
2. CounterSpy habe ich runtergeladen, PC neu gestartet und Counterspy geöffnet. Nun hängt er aber seit 10 Minuten - ich bekomme nur das Startfenster von Counterspy mit der überschrift Loading Spyware Definitions - aber es tut sich danach nichts mehr...
2. CounterSpy habe ich runtergeladen, PC neu gestartet und Counterspy geöffnet. Nun hängt er aber seit 10 Minuten - ich bekomme nur das Startfenster von Counterspy mit der überschrift Loading Spyware Definitions - aber es tut sich danach nichts mehr...
- xspider
- Beiträge: 15
- Registriert: 14.02.2006, 19:47
von Nikita am 20.06.2006, 13:14
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neu.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die neu.bat doppelt klicken--> kopiere den Text, der erscheint
cd\
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\Programme\PornMagPass" >>files.txt
dir "c:\programme\MyWay" >>files.txt
dir "c:\programme\quickbar" >>files.txt
notepad files.txt
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von xspider am 20.06.2006, 19:04
neu.bat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884B-07AE
Verzeichnis von C:\WINDOWS\system32\components
18.06.2006 15:30 <DIR> .
18.06.2006 15:30 <DIR> ..
17.06.2006 08:36 0 flx0.dll
17.06.2006 08:40 0 flx2.dll
17.06.2006 08:43 0 flx3.dll
3 Datei(en) 0 Bytes
2 Verzeichnis(se), 67.900.444.672 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884B-07AE
Verzeichnis von C:\Programme
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884B-07AE
Verzeichnis von c:\programme\MyWay
01.02.2006 21:20 <DIR> .
01.02.2006 21:20 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 67.900.440.576 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884B-07AE
Verzeichnis von c:\programme\quickbar
24.05.2005 16:33 <DIR> .
24.05.2005 16:33 <DIR> ..
23.11.2004 22:34 60.416 BarMan.exe
17.06.2006 09:59 <DIR> Cache
23.11.2004 22:34 1.164.288 quickbar.dll
03.02.2005 03:11 428 toolbar.ini
3 Datei(en) 1.225.132 Bytes
3 Verzeichnis(se), 67.900.440.576 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884B-07AE
Verzeichnis von C:\WINDOWS\system32\components
18.06.2006 15:30 <DIR> .
18.06.2006 15:30 <DIR> ..
17.06.2006 08:36 0 flx0.dll
17.06.2006 08:40 0 flx2.dll
17.06.2006 08:43 0 flx3.dll
3 Datei(en) 0 Bytes
2 Verzeichnis(se), 67.900.444.672 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884B-07AE
Verzeichnis von C:\Programme
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884B-07AE
Verzeichnis von c:\programme\MyWay
01.02.2006 21:20 <DIR> .
01.02.2006 21:20 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 67.900.440.576 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884B-07AE
Verzeichnis von c:\programme\quickbar
24.05.2005 16:33 <DIR> .
24.05.2005 16:33 <DIR> ..
23.11.2004 22:34 60.416 BarMan.exe
17.06.2006 09:59 <DIR> Cache
23.11.2004 22:34 1.164.288 quickbar.dll
03.02.2005 03:11 428 toolbar.ini
3 Datei(en) 1.225.132 Bytes
3 Verzeichnis(se), 67.900.440.576 Bytes frei
- xspider
- Beiträge: 15
- Registriert: 14.02.2006, 19:47
von Nikita am 21.06.2006, 00:25
1.
loesche mit der killbox (ALL FILES einstellen)
http://virus-protect.org/killbox.html
PC neustarten,
2.
Avenger:
kopier rein:
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
3.
dann ueberpruefe, ob C:\WINDOWS\system32\components geloescht ist.
loesche mit der killbox (ALL FILES einstellen)
http://virus-protect.org/killbox.html
C:\WINDOWS\system32\components
c:\programme\quickbar
PC neustarten,
2.
Avenger:
kopier rein:
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\quickbar.QUICKBAR
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\quickbar.QUICKBARMenu Button
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\quickbar.QUICKBARToggle Button\Clsid
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
3.
dann ueberpruefe, ob C:\WINDOWS\system32\components geloescht ist.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von xspider am 21.06.2006, 20:26
Nein leider gibt es den Ordner C:\WINDOWS\system32\components noch immer (nach oben beschriebenem)und drinnen sind 3 Files nämlich:
flx0.dll
flx2.dll
flx3.dll
...
flx0.dll
flx2.dll
flx3.dll
...
- xspider
- Beiträge: 15
- Registriert: 14.02.2006, 19:47
17 Beiträge • Seite 1 von 2 • 1, 2
Ähnliche Themen
| Pest Patrol - Versager?? Forum: Software-Hilfe Autor: Myron Antworten: |
Pest Patrol - Symantec - alles Muell?? Forum: Online- und PC-Sicherheit Autor: Myron Antworten: |
Trojaner ? Malware ? Forum: Online- und PC-Sicherheit Autor: Flusspirat Antworten: |
Malware, Trojaner? Ich bekomme lästige Viren nicht los. Forum: Online- und PC-Sicherheit Autor: chomage Antworten: |
Malware ueber MSN-Messenger -->messenger.exe (AdWare.WinA Forum: Online- und PC-Sicherheit Autor: pippo36 Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste