Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virus BAT/LuckyA. und BAT/Fake.Privdanger

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.02.2008, 18:01   #1
elmo
 
Virus BAT/LuckyA. und BAT/Fake.Privdanger - Standard

Virus BAT/LuckyA. und BAT/Fake.Privdanger



Hallo
Habe folgendes Problem
Seit längerem öffnet sich immer mein IE und will das ich lästige sachen runderlade. angeblich sind es irgendwelche antivirusprogramme
Bsp:1. http://scanner.adwareremover2007.com/4/?advid=1216
2. http://mediasmegaportal.com/phandler.php?sid=0&aid=0&pn=&said=0&pid=3&k=no+deposit+casino

Antivir findet immer folgenden Virus BAT/LuckyA. und BAT/Fake.Privdanger
Obwohl ich (eigene Dummheit) das ganze verzeichnis gelöscht habe, findet er die Viruse trotzdem noch.
Nachdem AntiVir das PRoblem nicht beheben kann habe ich Spybot, G Data,
sowie online bitdefender und Kaspersky genommen. Diese 4 programme konnten nichts beheben, bzw haben erst gar nichts gefunden.

Hier das HijackThis Log-File (benutze das zum ersten mal, also falls etwas damit nicht stimmen sollte bitte bescheid geben)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:55:39, on 04.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\G DATA TotalCare Trial\Firewall\GDFirewallTray.exe
C:\Programme\G DATA TotalCare Trial\AVKTray\AVKTray.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\G DATA TotalCare Trial\AVK\AVKService.exe
C:\Programme\G DATA TotalCare Trial\AVK\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA TotalCare Trial\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\virenundco\aawservice.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\virenundco\hijackthis\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data totalcare trial\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare Trial\Webfilter\AVKWebIE.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SXG Advisor - {27FA94FE-6919-4161-A20B-84E67E15DD88} - C:\WINDOWS\dntpkwonsw.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\VIRENU~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: ekxdvft - {2C70348E-974D-43FD-8FC7-BE3C57B6E95F} - (no file)
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare Trial\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA TotalCare Trial\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA TotalCare Trial\AVKTray\AVKTray.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [AdVantage] "C:\Programme\AdVantage\AdVantage.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\VIRENU~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\VIRENU~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O21 - SSODL: bgrlsmn - {03B944D5-5341-41CE-86DA-D3FC948A4CFE} - (no file)
O21 - SSODL: adsoowf - {EE4981FC-6CD4-4794-A8BD-AC84CC8866E8} - C:\WINDOWS\adsoowf.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\virenundco\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA TotalCare Trial\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA TotalCare Trial\AVK\AVKWCtl.exe
O23 - Service: G DATA Tuner Service - G DATA Software AG - C:\Programme\G DATA TotalCare Trial\AVKTuner\AVKTunerService.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA TotalCare Trial\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8902 bytes


Das habe ich noch von einem anderen thread gefunden (von Rene-gad)

Lasse mal die Dateien bei www.virustotal.com auswerten.
Zitat:C:\WINDOWS\duocore.dll
C:\WINDOWS\wmpenv.dll
C:\WINDOWS\wmpconf.dll

Bitte stelle deinen Explorer und Suchoptionen so ein, wie im Link aus meiner Signatur Versteckte Dateien... beschrieben ist

soll ich das auch genau so machen? wenn ja wie mach ich das bei "www.virustotal.com"?

ich danke schon mal im voraus

mfg elmo

Alt 04.02.2008, 21:55   #2
nochdigger
 
Virus BAT/LuckyA. und BAT/Fake.Privdanger - Standard

Virus BAT/LuckyA. und BAT/Fake.Privdanger



Hallo

mach doch wie Rene beschrieben hat, erstmal alle versteckten Dateien und Ordner sichtbar.

Zitat:
Antivir findet immer folgenden Virus BAT/LuckyA. und BAT/Fake.Privdanger
Wo (Pfad/Dateiname) werden diese gefunden besonders BAT/LuckyA.?

Lade dir bitte mal die Filelist sowie Silentrunners.

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

MFG
__________________


Alt 04.02.2008, 23:41   #3
elmo
 
Virus BAT/LuckyA. und BAT/Fake.Privdanger - Standard

Virus BAT/LuckyA. und BAT/Fake.Privdanger



Hier die Filelist

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CD4-5B91

Verzeichnis von C:\

04.02.2008 21:35 2.145.386.496 pagefile.sys
29.01.2008 15:54 223 boot.ini
20.01.2008 23:12 0 MSDOS.SYS
20.01.2008 23:12 0 CONFIG.SYS
20.01.2008 23:12 0 IO.SYS
20.01.2008 23:12 0 AUTOEXEC.BAT
31.12.2002 13:00 251.184 ntldr
31.12.2002 13:00 47.564 NTDETECT.COM
31.12.2002 13:00 4.952 bootfont.bin
9 Datei(en) 2.145.690.419 Bytes
0 Verzeichnis(se), 7.339.503.616 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CD4-5B91

Verzeichnis von C:\WINDOWS\system32

04.02.2008 21:39 314.644 perfh009.dat
04.02.2008 21:39 49.372 perfc007.dat
04.02.2008 21:39 40.972 perfc009.dat
04.02.2008 21:39 320.424 perfh007.dat
04.02.2008 21:39 732.342 PerfStringBackup.INI
04.02.2008 19:30 107.888 CmdLineExt.dll
02.02.2008 23:20 2.206 wpa.dbl
30.01.2008 23:12 239.944 FNTCACHE.DAT
30.01.2008 23:07 3.530 TZLog.log
30.01.2008 23:02 3 vbrun60sp6.installed
30.01.2008 22:55 3 Wordpad-Converter-ZLib-update.installed
29.01.2008 15:28 749 cdplayer.exe.manifest
29.01.2008 15:28 749 wuaucpl.cpl.manifest
29.01.2008 15:28 749 sapi.cpl.manifest
29.01.2008 15:28 749 nwc.cpl.manifest
29.01.2008 15:28 749 ncpa.cpl.manifest
26.01.2008 18:47 306.432 TuneUpDefragService.exe
22.01.2008 14:56 5.686 jupdate-1.6.0_03-b05.log
21.01.2008 01:15 146.650 BuzzingBee.wav
21.01.2008 01:15 940.794 LoopyMusic.wav
21.01.2008 00:00 579 $winnt$.inf
20.01.2008 23:58 2.951 CONFIG.NT
20.01.2008 23:58 16.832 amcompat.tlb
20.01.2008 23:58 23.392 nscompat.tlb
20.01.2008 23:57 488 WindowsLogon.manifest
20.01.2008 23:57 488 logonui.exe.manifest
20.01.2008 23:57 21.740 emptyregdb.dat
20.01.2008 23:53 0 h323log.txt
08.01.2008 02:16 630.784 divxdec.ax
04.01.2008 22:59 10.152 dsm_de.qm
04.01.2008 22:59 524.288 DivXsm.exe
04.01.2008 22:59 4.816 divxsm.tlb
04.01.2008 22:58 3.596.288 qt-dx331.dll
04.01.2008 22:58 187.128 pxmas.dll
04.01.2008 22:58 118.520 pxinsi64.exe
04.01.2008 22:58 518.904 pxdrv.dll
04.01.2008 22:58 1.628.920 pxsfs.dll
04.01.2008 22:58 379.640 pxwave.dll
04.01.2008 22:58 72.440 pxhpinst.exe
04.01.2008 22:58 120.056 pxcpyi64.exe
04.01.2008 22:58 66.296 pxcpya64.exe
04.01.2008 22:58 129.784 pxafs.dll
04.01.2008 22:58 551.672 px.dll
04.01.2008 22:58 64.760 pxinsa64.exe
04.01.2008 22:58 88.824 vxblock.dll
04.01.2008 22:58 1.044.480 libdivx.dll
04.01.2008 22:58 200.704 ssldivx.dll
04.01.2008 22:57 416 dpl100.dll.manifest
04.01.2008 22:57 416 dtu100.dll.manifest
04.01.2008 22:57 196.608 dtu100.dll
04.01.2008 22:57 81.920 dpl100.dll
04.01.2008 22:57 53.248 dpuGUI10.dll
04.01.2008 22:57 57.344 dpv11.dll
04.01.2008 22:57 593.920 dpuGUI11.dll
04.01.2008 22:57 294.912 dpu10.dll
04.01.2008 22:57 294.912 dpu11.dll
04.01.2008 22:57 344.064 dpus11.dll
04.01.2008 22:57 823.296 divx_xx07.dll
04.01.2008 22:57 682.496 DivX.dll
04.01.2008 22:57 823.296 divx_xx0c.dll
04.01.2008 22:57 802.816 divx_xx11.dll
04.01.2008 22:57 352.401 DivXMedia.ax
04.01.2008 22:56 156.992 DivXCodecVersionChecker.exe
04.01.2008 22:56 12.288 DivXWMPExtType.dll
04.01.2008 22:56 3.136 dtu_de.qm
04.01.2008 22:56 8.523 dpude.qm


bei dem silentrunner hab ich nen kleinese problem. finde die datei, die ich in den editor packen sollte nicht
normalerweise müsste er sie in den desktopordner packen, dort ist sie aber nicht...(oder ist es es die datei schedlog.txt ?)
__________________

Alt 05.02.2008, 08:28   #4
nochdigger
 
Virus BAT/LuckyA. und BAT/Fake.Privdanger - Standard

Virus BAT/LuckyA. und BAT/Fake.Privdanger



Hallo


das Filelist Log ist unvollständig, da fehlt einiges...führe es bitte nochmal aus.

Zitat:
(oder ist es es die datei schedlog.txt ?)
Nee
Klicke mit rechts auf den Link und wähle dann "Ziel speichern unter"(o.ä.), es sollte dann dort landen wo du es haben möchtest.

Zitat:
Wo (Pfad/Dateiname) werden diese gefunden besonders BAT/LuckyA.?
?

MFG

Alt 06.02.2008, 22:43   #5
elmo
 
Virus BAT/LuckyA. und BAT/Fake.Privdanger - Standard

Virus BAT/LuckyA. und BAT/Fake.Privdanger



hier die silent runners datei

"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ICQ" = ""C:\Programme\ICQ6\ICQ.exe" silent" ["ICQ, Inc."]
"DAEMON Tools Lite" = ""C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun" ["DT Soft Ltd"]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Orb" = ""C:\Programme\Winamp Remote\bin\OrbTray.exe" /background" ["Orb Networks"]
"AdVantage" = ""C:\Programme\AdVantage\AdVantage.exe"" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]
"GDFirewallTray" = "C:\Programme\G DATA TotalCare Trial\Firewall\GDFirewallTray.exe" ["G DATA Software AG"]
"AVKTray" = ""C:\Programme\G DATA TotalCare Trial\AVKTray\AVKTray.exe"" ["G DATA Software AG"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{0124123D-61B4-456f-AF86-78C53A0790C5}\(Default) = "G DATA WebFilter Class"
-> {HKLM...CLSID} = "G DATA WebFilter"
\InProcServer32\(Default) = "C:\Programme\G DATA TotalCare Trial\Webfilter\AVKWebIE.dll" ["G DATA Software AG"]
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}\(Default) = "Winamp Toolbar BHO"
-> {HKLM...CLSID} = "Winamp Toolbar BHO"
\InProcServer32\(Default) = "C:\Programme\Winamp Toolbar\winamptb.dll" ["AOL LLC"]
{27FA94FE-6919-4161-A20B-84E67E15DD88}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SXG Advisor"
\InProcServer32\(Default) = "C:\WINDOWS\dntpkwonsw.dll" [null data]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\VIRENU~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{8BE13461-936F-11D1-A87D-444553540000}" = "Eraser Shell Extension"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\erasext.dll" ["-"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "Z:\TUNEUP\NEUERO~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"adsoowf" = "{EE4981FC-6CD4-4794-A8BD-AC84CC8866E8}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\adsoowf.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "Userinit" = "C:\WINDOWS\system32\userinit.exe,c:\programme\g data totalcare trial\avkkid\avkcks.exe" [MS], [file not found], [file not found], [file not found], [file not found]

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk /r \??\Z:"|"autocheck autochk /r \??\Z:"|"autocheck autochk *"|"lsdelete" [null data]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
-> {HKLM...CLSID} = "AVK9ContextMenue"
\InProcServer32\(Default) = "C:\Programme\G DATA TotalCare Trial\AVK\ShellExt.dll" ["G DATA Software AG"]
Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\erasext.dll" ["-"]
Secure Eraser\(Default) = "{2A8DEC8D-934E-4FF8-825A-05A800047649}"
-> {HKLM...CLSID} = "Secure Eraser"
\InProcServer32\(Default) = "C:\Programme\eraser1\Secure Eraser\SecEraser.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "Z:\TUNEUP\NEUERO~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "Z:\TUNEUP\NEUERO~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
-> {HKLM...CLSID} = "AVK9ContextMenue"
\InProcServer32\(Default) = "C:\Programme\G DATA TotalCare Trial\AVK\ShellExt.dll" ["G DATA Software AG"]
Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\erasext.dll" ["-"]
Reisswolf\(Default) = "{1F0F1EE7-36B9-11D2-8985-0080ADA96E9B}"
-> {HKLM...CLSID} = "ReisswolfContextMenu"
\InProcServer32\(Default) = "C:\Programme\G DATA TotalCare Trial\Shredder\Reisswlf.dll" ["G DATA Software AG"]
Secure Eraser\(Default) = "{2A8DEC8D-934E-4FF8-825A-05A800047649}"
-> {HKLM...CLSID} = "Secure Eraser"
\InProcServer32\(Default) = "C:\Programme\eraser1\Secure Eraser\SecEraser.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
Reisswolf\(Default) = "{1F0F1EE7-36B9-11D2-8985-0080ADA96E9B}"
-> {HKLM...CLSID} = "ReisswolfContextMenu"
\InProcServer32\(Default) = "C:\Programme\G DATA TotalCare Trial\Shredder\Reisswlf.dll" ["G DATA Software AG"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableTaskMgr" = (REG_DWORD) dword:0x00000000
{User Configuration|Administrative Templates|System|Ctrl+Alt+Del Options|
Remove Task Manager}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Startup items in "Michael" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart
"G DATA Firewall Tray" -> shortcut to: "C:\Programme\G DATA TotalCare Trial\Firewall\GDFirewallTray.exe" ["G DATA Software AG"]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "Z:\TuneUp\Neuer Ordner\OneClick.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 14
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"
-> {HKLM...CLSID} = "Winamp Toolbar"
\InProcServer32\(Default) = "C:\Programme\Winamp Toolbar\winamptb.dll" ["AOL LLC"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}" = "Winamp Toolbar"
-> {HKLM...CLSID} = "Winamp Toolbar"
\InProcServer32\(Default) = "C:\Programme\Winamp Toolbar\winamptb.dll" ["AOL LLC"]
"{0124123D-61B4-456F-AF86-78C53A0790C5}" = "G DATA WebFilter"
-> {HKLM...CLSID} = "G DATA WebFilter"
\InProcServer32\(Default) = "C:\Programme\G DATA TotalCare Trial\Webfilter\AVKWebIE.dll" ["G DATA Software AG"]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\VIRENU~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, "C:\Programme\virenundco\aawservice.exe" ["Lavasoft"]
AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
AntiVirus Wächter, AVKWCtl, "C:\Programme\G DATA TotalCare Trial\AVK\AVKWCtl.exe" ["G DATA Software AG"]
G DATA AntiVirus Proxy, AVKProxy, ""C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe"" ["G DATA Software AG"]
G DATA Personal Firewall, GDFwSvc, "C:\Programme\G DATA TotalCare Trial\Firewall\GDFwSvc.exe" ["G DATA Software AG"]
G DATA Scheduler, AVKService, "C:\Programme\G DATA TotalCare Trial\AVK\AVKService.exe" ["G DATA Software AG"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


---------- (launch time: 2008-02-06 22:31:53)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 30 seconds, including 4 seconds for message boxes)

dann die filelist von den letzten 30 tagen

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CD4-5B91

Verzeichnis von C:\

06.02.2008 22:22 2.145.386.496 pagefile.sys
29.01.2008 15:54 223 boot.ini
20.01.2008 23:12 0 MSDOS.SYS
20.01.2008 23:12 0 CONFIG.SYS
20.01.2008 23:12 0 IO.SYS
20.01.2008 23:12 0 AUTOEXEC.BAT
31.12.2002 13:00 251.184 ntldr
31.12.2002 13:00 47.564 NTDETECT.COM
31.12.2002 13:00 4.952 bootfont.bin
9 Datei(en) 2.145.690.419 Bytes
0 Verzeichnis(se), 6.919.061.504 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CD4-5B91

Verzeichnis von C:\WINDOWS\system32

06.02.2008 22:26 40.972 perfc009.dat
06.02.2008 22:26 49.372 perfc007.dat
06.02.2008 22:26 314.644 perfh009.dat
06.02.2008 22:26 320.424 perfh007.dat
06.02.2008 22:26 732.342 PerfStringBackup.INI
04.02.2008 19:30 107.888 CmdLineExt.dll
02.02.2008 23:20 2.206 wpa.dbl
31.01.2008 23:11 4.816 divxsm.tlb
31.01.2008 23:11 524.288 DivXsm.exe
31.01.2008 23:11 10.152 dsm_de.qm
31.01.2008 23:11 3.596.288 qt-dx331.dll
31.01.2008 23:10 1.044.480 libdivx.dll
31.01.2008 23:10 200.704 ssldivx.dll
31.01.2008 23:09 81.920 dpl100.dll
31.01.2008 23:09 416 dtu100.dll.manifest
31.01.2008 23:09 196.608 dtu100.dll
31.01.2008 23:09 416 dpl100.dll.manifest
31.01.2008 23:09 593.920 dpuGUI11.dll
31.01.2008 23:09 53.248 dpuGUI10.dll
31.01.2008 23:09 344.064 dpus11.dll
31.01.2008 23:09 294.912 dpu11.dll
31.01.2008 23:09 294.912 dpu10.dll
31.01.2008 23:09 57.344 dpv11.dll
31.01.2008 23:09 823.296 divx_xx0c.dll
31.01.2008 23:09 802.816 divx_xx11.dll
31.01.2008 23:09 682.496 DivX.dll
31.01.2008 23:09 823.296 divx_xx07.dll
31.01.2008 23:09 352.401 DivXMedia.ax
31.01.2008 23:09 630.784 divxdec.ax
31.01.2008 23:09 156.992 DivXCodecVersionChecker.exe
31.01.2008 23:09 12.288 DivXWMPExtType.dll
31.01.2008 23:08 3.136 dtu_de.qm
31.01.2008 23:08 8.523 dpude.qm
30.01.2008 23:12 239.944 FNTCACHE.DAT
30.01.2008 23:07 3.530 TZLog.log
30.01.2008 23:02 3 vbrun60sp6.installed
30.01.2008 22:55 3 Wordpad-Converter-ZLib-update.installed
29.01.2008 15:28 749 cdplayer.exe.manifest
29.01.2008 15:28 749 wuaucpl.cpl.manifest
29.01.2008 15:28 749 nwc.cpl.manifest
29.01.2008 15:28 749 sapi.cpl.manifest
29.01.2008 15:28 749 ncpa.cpl.manifest
26.01.2008 18:47 306.432 TuneUpDefragService.exe
22.01.2008 14:56 5.686 jupdate-1.6.0_03-b05.log
21.01.2008 01:15 146.650 BuzzingBee.wav
21.01.2008 01:15 940.794 LoopyMusic.wav
21.01.2008 00:00 579 $winnt$.inf
20.01.2008 23:58 2.951 CONFIG.NT
20.01.2008 23:58 16.832 amcompat.tlb
20.01.2008 23:58 23.392 nscompat.tlb
20.01.2008 23:57 488 logonui.exe.manifest
20.01.2008 23:57 488 WindowsLogon.manifest
20.01.2008 23:57 21.740 emptyregdb.dat
20.01.2008 23:53 0 h323log.txt
04.01.2008 22:58 187.128 pxmas.dll
04.01.2008 22:58 72.440 pxhpinst.exe
04.01.2008 22:58 518.904 pxdrv.dll
04.01.2008 22:58 88.824 vxblock.dll
04.01.2008 22:58 379.640 pxwave.dll
04.01.2008 22:58 551.672 px.dll
04.01.2008 22:58 129.784 pxafs.dll
04.01.2008 22:58 64.760 pxinsa64.exe
04.01.2008 22:58 1.628.920 pxsfs.dll
04.01.2008 22:58 120.056 pxcpyi64.exe
04.01.2008 22:58 118.520 pxinsi64.exe
04.01.2008 22:58 66.296 pxcpya64.exe

wegen BAT/ LuckyA. ist nicht mehr auffindbar- keines der programme findet den virus mehr
dafür hat aber noch BAT/Fake.Privdanger
Insbesondere in

C:\Dokumente und Einstellungen\..........\ Lokale Einstellungen\Temp\Desktop_background.zip

C:\Dokumente und Einstellungen\..........\ Lokale Einstellungen\Temp\Bit2C4.tmp

C:\Dokumente und Einstellungen\..........\ Lokale Einstellungen\Temp\Bit23F4.tmp

C:\Dokumente und Einstellungen\..........\ Lokale Einstellungen\Temp\Bit173.tmp

C:\Dokumente und Einstellungen\..........\ Lokale Einstellungen\Temp\install-privacy-danger.bat

C:\\Windows\Temp\_avast_4\unp130787676.tmp

das waren nur einige beispiele

ich hoffe ich konnte damit weiterhelfen


Alt 07.02.2008, 06:44   #6
nochdigger
 
Virus BAT/LuckyA. und BAT/Fake.Privdanger - Standard

Virus BAT/LuckyA. und BAT/Fake.Privdanger



Hallo

die Filelist scheint nicht dein Freund zu sein

Starte bitte Antivir unter dem Reiter Ereignisse findest du die Spalte Typ -> suche dort nach Fund -> klicke den Fund doppelt und kopiere den Pfad für BAT/LuckyA ab und füge ihn in deinen nächsten Beitrag ein.


Lade dir Smitfraudfix

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen (Option 1) und speichere den rapport.txt



-Starte deinen Rechner in den abgesicherten Modus (beim start F8 drücken)
-Führe Smitfraudfix erneut aus mit der Option 2 (Bereinigung)
-Zurück im normalen Modus poste bitte wie in der Anleitung beschrieben, das Ergebnis der Scans sowie ein frisches HijackThis Log.


MFG

Alt 08.02.2008, 07:39   #7
elmo
 
Virus BAT/LuckyA. und BAT/Fake.Privdanger - Standard

Virus BAT/LuckyA. und BAT/Fake.Privdanger



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:34:35, on 07.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\virenundco\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ICQ6\ICQ.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\virenundco\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = UltimateCleaner 2007
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\VIRENU~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: ekxdvft - {2C70348E-974D-43FD-8FC7-BE3C57B6E95F} - (no file)
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [AdVantage] "C:\Programme\AdVantage\AdVantage.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\VIRENU~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\VIRENU~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\virenundco\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6692 bytes


SmitFraudFix v2.281

Scan done at 20:29:16,82, 07.02.2008
Run from C:\Dokumente und Einstellungen\Michael.MICHAEL2112\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\virenundco\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ICQ6\ICQ.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wuauclt.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 legal-at-spybot.info
127.0.0.1 www.legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\adsoowf.dll FOUND !
C:\WINDOWS\dntpkwo???.dll FOUND !
C:\WINDOWS\ffvrdgt.exe FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Michael.MICHAEL2112


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Michael.MICHAEL2112\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\MICHAE~1.MIC\FAVORI~1

C:\DOKUME~1\MICHAE~1.MIC\FAVORI~1\Error Cleaner.url FOUND !
C:\DOKUME~1\MICHAE~1.MIC\FAVORI~1\Privacy Protector.url FOUND !
C:\DOKUME~1\MICHAE~1.MIC\FAVORI~1\Spyware?Malware Protection.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

C:\DOKUME~1\MICHAE~1.MIC\Desktop\Error Cleaner.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: dntpkwonsw.dll
BHO: SXG Advisor - {27FA94FE-6919-4161-A20B-84E67E15DD88}
TypeLib: {AA356BD0-ED1B-490A-AD57-845FD048DE2F}
Interface: {6E058293-A256-41D5-AA98-CF70A74555EA}
Interface: {ED69AC0E-B164-4157-B534-4FF7A6D1B738}

[!] Suspicious: adsoowf.dll
SSODL: adsoowf - {EE4981FC-6CD4-4794-A8BD-AC84CC8866E8}


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{641846A4-2983-4FBE-9D7E-B81700596A02}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{641846A4-2983-4FBE-9D7E-B81700596A02}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{641846A4-2983-4FBE-9D7E-B81700596A02}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


Das mit BAT/ LuckyA. muss ich héute abend machen.
achso und was ist jetzt an der filelist falsch? O_o

Alt 08.02.2008, 16:32   #8
nochdigger
 
Virus BAT/LuckyA. und BAT/Fake.Privdanger - Standard

Virus BAT/LuckyA. und BAT/Fake.Privdanger



Hallo

Zitat:
achso und was ist jetzt an der filelist falsch? O_o
es fehlen einfach diese Ordner
Zitat:
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
wenn dort keine Daten in den letzten 30 Tagen aufgelaufen sind hättest du es sagen dürfen

Führe Smitfraudfix noch im abgesicherten Modus mit der Option 2 aus, anschließend poste bitte die Logs wie oben beschrieben.

MFG

Antwort

Themen zu Virus BAT/LuckyA. und BAT/Fake.Privdanger
ad-aware, adobe, avira, bho, defender, einstellungen, excel, explorer, firewall, g data, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kaspersky, log-file, object, rundll, s-1-5-18, software, stimme, system, tuneup.defrag, urlsearchhook, userinit.exe, virus, windows, windows xp, wmid, öffnet




Ähnliche Themen: Virus BAT/LuckyA. und BAT/Fake.Privdanger


  1. BAT/Fake.Privdanger
    Plagegeister aller Art und deren Bekämpfung - 31.08.2008 (17)
  2. Fake.Privdanger wiedermal *himmelguck*
    Log-Analyse und Auswertung - 19.08.2008 (5)
  3. Bitte hilfe für: BAT/Fake.Privdanger
    Plagegeister aller Art und deren Bekämpfung - 19.06.2008 (2)
  4. Fake.Privdanger
    Log-Analyse und Auswertung - 04.06.2008 (8)
  5. Bat/fake.privdanger problem
    Plagegeister aller Art und deren Bekämpfung - 13.05.2008 (1)
  6. Problem: BAT/Fake.Privdanger
    Plagegeister aller Art und deren Bekämpfung - 24.04.2008 (37)
  7. BAT/Fake Privdanger eingefangen
    Log-Analyse und Auswertung - 25.03.2008 (13)
  8. BAT/Fake.Privdanger
    Log-Analyse und Auswertung - 23.03.2008 (7)
  9. Bat/Fake.Privdanger
    Log-Analyse und Auswertung - 23.03.2008 (9)
  10. Hilfe bei BAT/Fake.Privdanger
    Log-Analyse und Auswertung - 07.03.2008 (0)
  11. Virus BAT/Fake.Privdanger macht Desktop weiss.
    Log-Analyse und Auswertung - 29.02.2008 (21)
  12. bat.fake/privdanger
    Log-Analyse und Auswertung - 31.01.2008 (14)
  13. ebenfalls bat.fake/privdanger
    Log-Analyse und Auswertung - 30.01.2008 (3)
  14. Bitte helft mir BAT/Fake.Privdanger
    Log-Analyse und Auswertung - 29.01.2008 (3)
  15. bat.fake/privdanger - die zweite, hilfe!
    Mülltonne - 27.01.2008 (0)
  16. bat/fake.privdanger
    Log-Analyse und Auswertung - 10.01.2008 (3)
  17. BAT/Fake.Privdanger
    Log-Analyse und Auswertung - 29.10.2007 (16)

Zum Thema Virus BAT/LuckyA. und BAT/Fake.Privdanger - Hallo Habe folgendes Problem Seit längerem öffnet sich immer mein IE und will das ich lästige sachen runderlade. angeblich sind es irgendwelche antivirusprogramme Bsp:1. http://scanner.adwareremover2007.com/4/?advid=1216 2. http://mediasmegaportal.com/phandler.php?sid=0&aid=0&pn=&said=0&pid=3&k=no+deposit+casino Antivir findet immer - Virus BAT/LuckyA. und BAT/Fake.Privdanger...
Archiv
Du betrachtest: Virus BAT/LuckyA. und BAT/Fake.Privdanger auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.