CID-Popup

[EVA114]

Die outlook.exe geht nicht. Weder aus der Verknüpfung in der Taskleiste noch aus dem Office Ordner unter C.
Wenn ich unter Start Ausführen outlook /firstrun oder outlook /recycle eingebe, startet Outlook ganz normal.
Also ist doch nur beim Systemcheck was kaputt gegangen.
Was kann ich also tun?

[Nikita]

Hallo Eva

««
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Code: Alles auswählen

dir %Windir%\tasks /a h > files.txt
notepad files.txt


- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
-----------------------------------------------------------------------------------

HijacktHis:
fixe

Code: Alles auswählen

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O16 - DPF: {DC75FEF6-165D-4D25-A518-C8C4BDA7BAA6} (CPlayFirstDinerDashControl Object) - http://bigfishgames.com/online/dinerdash/DinerDash.1.0.0.58.cab

Combofix
http://www.virus-protect.org/artikel/to ... bofix.html

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Code: Alles auswählen

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\checkrun]
"C:\windows\system32\elitexkp32.exe"=-

File::
C:\windows\system32\elitexkp32.exe

Folder::
C:\Programme\Windows Live
C:\Programme\Circle Developement
C:\Programme\Soap Drive Curb
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\file joy proc deaf
C:\Dokumente und Einstellungen\Jasmina\Anwendungsdaten\Soap Drive Curb

und mit der rechten Maustaste auf das Symbol von Combofix ziehen



«
wende Combofix noch mal an - tippe 1

-----------------------------------------------

Lade dieses Kaspersky-Tool - scanne und poste den Scanreport hier
http://www.virus-protect.org/artikel/to ... ersky.html

---

was den Outlook betrifft:

1. Überprüfe alle geschützten Dateien auf dem Computer mit dem Systemdatei-Überprüfungsprogramm:
a. Klicke auf Start und anschließend auf Ausführen.
b. Geben in das Feld Öffnen den Befehl

sfc /scannow

ein, und klicke auf OK.

Du wirst eventuell aufgefordert, die Installationsmedien für Windows XP oder Windows XP Service Pack 1 bereitzustellen.

Berichte dann, ob der Outlook wieder funktioniert.

[EVA114]

Files.txt

Code: Alles auswählen

Datenträger in Laufwerk C: ist System
Volumeseriennummer: 24F7-5A25

Verzeichnis von C:\WINDOWS\tasks

02.01.2008  12:55    <DIR>          .
02.01.2008  12:55    <DIR>          ..
11.01.2008  07:00               272 ADE63DA59191B0FD.job
18.08.2001  13:00                65 desktop.ini
11.01.2008  20:16                 6 SA.DAT
               3 Datei(en)            343 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Eva\Desktop

Combofix:

[code]ComboFix 08-01-10.2 - Eva 2008-01-11 21:22:28.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.197 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Eva\Desktop\ComboFix.exe
Command switches used :: und Einstellungen\Eva\Desktop\ComboFix.exe C:\Dokumente und Einstellungen\Eva\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-11 bis 2008-01-11 ))))))))))))))))))))))))))))))
.

2008-01-11 21:21 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-07 23:23 . 2008-01-07 23:23 <DIR> dr------- C:\Dokumente und Einstellungen\Unten_Admin\Eigene Dateien
2008-01-07 23:13 . 2008-01-07 23:13 <DIR> d-------- C:\Programme\Made on a PC
2008-01-06 18:54 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-01-06 18:54 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-01-06 18:54 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-01-06 18:54 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-01-02 12:54 . 2008-01-02 12:54 <DIR> d-------- C:\Programme\Windows Live
2008-01-02 12:54 . 2008-01-02 12:54 <DIR> d-------- C:\Programme\Soap Drive Curb
2008-01-02 12:54 . 2008-01-02 12:54 <DIR> d-------- C:\Programme\Circle Developement
2008-01-02 12:54 . 2008-01-10 21:12 <DIR> d-------- C:\Dokumente und Einstellungen\Jasmina\Anwendungsdaten\Soap Drive Curb
2007-12-17 21:14 . 2007-12-17 21:14 93 --a------ C:\WINDOWS\coala.config

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-11 20:20 --------- d-----w C:\Programme\Symantec AntiVirus
2008-01-11 20:20 --------- d-----w C:\Dokumente und Einstellungen\Eva\Anwendungsdaten\FRITZ!
2008-01-11 06:18 --------- d-----w C:\Dokumente und Einstellungen\Eva\Anwendungsdaten\AdobeUM
2008-01-05 15:04 --------- d-----w C:\Dokumente und Einstellungen\Jasmina\Anwendungsdaten\FRITZ!
2008-01-02 11:54 --------- d-----w C:\Programme\MSN Messenger
2007-12-26 10:43 --------- d-----w C:\Dokumente und Einstellungen\Eva\Anwendungsdaten\ICQ
2007-12-17 20:34 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-17 20:34 --------- d-----w C:\Programme\ElsterFormular
2007-12-17 18:41 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-11-11 16:49 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2006-06-13 17:53 315 ----a-w C:\Dokumente und Einstellungen\Eva\Anwendungsdaten\bbbconfig.dat
2006-04-27 12:23 8,043,192 ----a-w C:\Programme\fritzdsl_2_02_29.exe
2001-03-28 11:02 122,880 ----a-w C:\WINDOWS\inf\Agfa\message.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-04-08 14:52 48752]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2005-04-17 11:30 85184]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 23:58 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 15360]

C:\Dokumente und Einstellungen\Jasmina\Startmen

[Nikita]

Combofix
http://www.virus-protect.org/artikel/to ... bofix.html

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\checkrun]
"C:\windows\system32\elitexkp32.exe"=-

File::
C:\windows\system32\elitexkp32.exe
C:\WINDOWS\tasks\ADE63DA59191B0FD.job

Folder::
C:\Programme\Windows Live
C:\Programme\Soap Drive Curb
C:\Programme\Circle Developement
C:\Dokumente und Einstellungen\Jasmina\Anwendungsdaten\Soap Drive Curb

und die Textdatei mit der rechten Maustaste auf das Symbol von Combofix ziehen
Combofix noch mal anwenden - tippe : 1


dann poste das log, was erscheint

[EVA114]

Ist es nicht leichtsinnig, soviele Daten von meinem PC hier zu posten?
Sie könnten hier ja auch in falsche Hände geraten, oder?

[Nikita]

leichtsinnig ist es nicht, wen interessieren deine Proggies ?? Aber wenn du willst, loesche ich alles.
Hast du nun endlich den Swizzor-Trojaner mit der Combofix ausgeloescht ????
Das ist viel wichtiger.....

[EVA114]

Ich weiß nicht, ob der jetzt gelöscht ist. Hier ist der logfile von Combofix:
[code]ComboFix 08-01-11.3 - Eva 2008-01-13 0:47:29.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.188 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Eva\Desktop\ComboFix.exe
Command switches used :: und Einstellungen\Eva\Desktop\ComboFix.exe C:\Dokumente und Einstellungen\Eva\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-12 bis 2008-01-12 ))))))))))))))))))))))))))))))
.

2008-01-11 21:39 . 2008-01-12 06:57 178,208 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-11 21:39 . 2008-01-12 06:57 2,480 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-11 21:21 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-07 23:23 . 2008-01-07 23:23 <DIR> dr------- C:\Dokumente und Einstellungen\Unten_Admin\Eigene Dateien
2008-01-07 23:13 . 2008-01-07 23:13 <DIR> d-------- C:\Programme\Made on a PC
2008-01-06 18:54 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-01-06 18:54 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-01-06 18:54 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-01-06 18:54 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-01-02 12:54 . 2008-01-02 12:54 <DIR> d-------- C:\Programme\Windows Live
2008-01-02 12:54 . 2008-01-02 12:54 <DIR> d-------- C:\Programme\Soap Drive Curb
2008-01-02 12:54 . 2008-01-12 06:37 <DIR> d-------- C:\Programme\Circle Developement
2008-01-02 12:54 . 2008-01-10 21:12 <DIR> d-------- C:\Dokumente und Einstellungen\Jasmina\Anwendungsdaten\Soap Drive Curb
2007-12-17 21:14 . 2007-12-17 21:14 93 --a------ C:\WINDOWS\coala.config

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-12 23:31 --------- d-----w C:\Programme\Symantec AntiVirus
2008-01-12 05:56 --------- d-----w C:\Dokumente und Einstellungen\Eva\Anwendungsdaten\FRITZ!
2008-01-11 06:18 --------- d-----w C:\Dokumente und Einstellungen\Eva\Anwendungsdaten\AdobeUM
2008-01-05 15:04 --------- d-----w C:\Dokumente und Einstellungen\Jasmina\Anwendungsdaten\FRITZ!
2008-01-02 11:54 --------- d-----w C:\Programme\MSN Messenger
2007-12-26 10:43 --------- d-----w C:\Dokumente und Einstellungen\Eva\Anwendungsdaten\ICQ
2007-12-17 20:34 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-17 20:34 --------- d-----w C:\Programme\ElsterFormular
2007-12-17 18:41 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2006-06-13 17:53 315 ----a-w C:\Dokumente und Einstellungen\Eva\Anwendungsdaten\bbbconfig.dat
2006-04-27 12:23 8,043,192 ----a-w C:\Programme\fritzdsl_2_02_29.exe
2001-03-28 11:02 122,880 ----a-w C:\WINDOWS\inf\Agfa\message.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-04-08 14:52 48752]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2005-04-17 11:30 85184]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 23:58 110592 C:\WINDOWS\system32\bthprops.cpl]
"AVP"="C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_10.01.2008_21-48.exe" [2007-10-12 15:29 212992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 15360]

C:\Dokumente und Einstellungen\Jasmina\Startmen

[EVA114]

Kann ich jetzt eigentlich den Kapersky Lab tool löschen? Der hat über 200MB und liegt auf dem Desktop und macht den PC ziemlich langsam.

[Nikita]

Kann ich jetzt eigentlich den Kapersky Lab tool löschen? Der hat über 200MB und liegt auf dem Desktop und macht den PC ziemlich langsam.

ja klar , kannst du deinstallieren.

[EVA114]

Und wie? Das lässt sich nicht löschen. Ab und zu kann ich den ja durchlaufen lassen, aber dann kann ich das tool ja wieder runterladen, oder?

[Nikita]

auf deinem Desktop ist ein Ordner: Kaspersky Lab Tool klicke mit der rechten Maustaste drauf: löschen

[EVA114]

Dann kommt:
advdis.ppl kann nicht gelöscht werden. Der Zugriff wurde verweigert.

Outlook ging plötzlich von allein wieder.
Sonst auf meinem PC alles o.k.?

[Nikita]

keine Ahnung, ob wieder alles o.k. ist - hast du endlich mit der Combofix die Trojanerfolder gelöscht ? Im letzten Combofix-Log waren sie noch drin...

[EVA114]

Ich hatte es so gemacht, wie Du gesagt hast. Den cfscript erzeugt und dann auf Comofix gezogen und Combofix dann durchlaufen lassen. Wenn er das dann nicht gelöscht hatm, weiß ich nicht wie sonst.

[EVA114]

Danach habe ich ja Kapersky angewandt. Der hat einige Trojaner gelöscht.
Ich kann ja nochmal ein neues Combofix. log erstellen.