Hallo.
Bei dir im Log sieht man ne ganze Reihe von Malwareresten, gut möglich, dass da noch einiges von aktiv ist:
Zitat:
O2 - BHO: (no name) - {09E77413-802A-4CC9-96FD-D75D2185BC7A} - \
O2 - BHO: (no name) - {11AF9F54-2334-4E9C-8882-C9B5E3653676} - \
O2 - BHO: (no name) - {17F242C4-2D18-44A9-A6DD-7482814C8F7E} - E:\WINDOWS\system32\mljgd.dll (file missing)
O2 - BHO: (no name) - {24C10A32-EADA-4749-9C77-9786B7C3A909} - \
O2 - BHO: Editor plugin - {2CC4AA87-7887-4e81-8285-3BFAD0806B1B} - worldso.dll (file missing)
O2 - BHO: (no name) - {30195804-EB73-47DD-9CE3-1354FC337243} - \
O2 - BHO: (no name) - {31BDCF10-B67A-430F-A712-40FD2F72DA22} - \
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5CAB6120-53EF-4C27-BF5F-98F44370BEE3} - \
O2 - BHO: (no name) - {5F8BC59B-9388-4325-A39F-462B9411677F} - \
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - E:\WINDOWS\system32\mljjhgh.dll (file missing)
O2 - BHO: (no name) - {6E5FA7E4-7B9D-4F87-A3FE-5AB2DEB72BFF} - \
O2 - BHO: (no name) - {7BF392A6-A582-4797-B862-3006FCE599E8} - \
O2 - BHO: (no name) - {7D66DC02-75A2-42CA-8793-C99D683CE6D1} - \
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {7F50B64D-B2B5-475F-B890-3B3AC6DA8157} - \
O2 - BHO: (no name) - {857A461D-8D96-4996-A4A0-AEA0A2535B86} - E:\WINDOWS\system32\fccccay.dll (file missing)
O2 - BHO: (no name) - {9391BE44-5EB9-41CB-9226-9D5ECEEF197A} - \
O2 - BHO: (no name) - {A095E5B6-BAD6-4949-B548-93C1526395C7} - \
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll
O20 - Winlogon Notify: fccccay - fccccay.dll (file missing)
O20 - Winlogon Notify: mljgd - E:\WINDOWS\system32\mljgd.dll (file missing)
O20 - Winlogon Notify: mljjhgh - mljjhgh.dll (file missing)
O20 - Winlogon Notify: winetn32 - winetn32.dll (file missing)
O22 - SharedTaskScheduler: Windows Installer Class - {24E31EA9-FCE2-404F-BD80-20543565D946} - E:\DOKUME~1\Jonas\LOKALE~1\Temp\~~install.dll (file missing)
|
Zitat:
O4 - HKCU\..\Policies\Explorer\Run: [{684CFBD4-0682-1031-0809-050325020031}] "e:\programme\antivir personaledition classic\update.exe" mc-110-12-0000140
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [{684CFBD4-0682-1031-0809-050325020031}] "e:\programme\antivir personaledition classic\update.exe" mc-110-12-0000140 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [{684CFBD4-0682-1031-0809-050325020031}] "e:\programme\antivir personaledition classic\update.exe" mc-110-12-0000140 (User 'Default user')
|
Merkwürdig sind diese Einträge auch, das passt imho nicht zu AntiVir. Man beachte den Teil den ich fett markiert habe, man könnte meinen da versucht Malware den Updatevorgang des Virenscanners zu unterbinden oder manipulieren!
Zitat:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
|
Regedit wurde wohl von der Malware deaktiviert!
Sehr fraglich, ob eine bereinigung noch zum Erfolg führt. Ich würde dir erstmal raten das System mit
Blacklight zu scannen. Poste das Logfile. Folge auch mal bitte dem eScan-Link in meiner Signatur und acker die Anleitung ab.
25.08.2007, 13:40
Baum-Darstellung