Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: "Storageprotector.com"-Verlinkung auf Desktop

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.12.2007, 23:18   #1
Muhkuh88
 
"Storageprotector.com"-Verlinkung auf Desktop - Standard

"Storageprotector.com"-Verlinkung auf Desktop



Hi,

ich habe ein Problem mit einem Trojaner, im Netz auch bekannt als "Storageprotector". Es handelt sich ferner um zwei Links auf meinem Desktop ("Windows Updater" & "Help and Support Center"). Beide geben als Zielverzeichnis die Seite "Storageprotector.com" an. Probleme habe ich, da beim Booten zum Teil ein leerer Desktop angezeigt wird und ich erst den Explorer per Taskmanager neustarten muss, damit mein kompletter Desktop angezeigt wird. Außerdem funktionieren einzelne Links (unterschiedliche und ständig wechselnd) nicht mehr, wie z.b. Systemsteuerung öffnenoder Papierkorb öffnen und es werde Icons der Shortcuts umgeändert!
Ich habe diverse Virenscanner bemüht, darunter mein Standart Antivir, dann Adaware, Bitdefender und Spywarefighter (die vielen Scanner habe ich erst seit die Links erschienen sind! Habe jeden aber einzelnd laufen lassen damit sie sich nicht behindern). Keiner hat den Trojaner erkannt, geschweigedenn entfernt.
Hier die Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:32:52, on 20.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [a4c5ae82] rundll32.exe "C:\WINDOWS\system32\fuxpcjkc.dll",b
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {8A0DCBDB-6E20-489C-9041-C1E8A0352E75} - h**p://awbeta.net-nucleus.com/FIX/WinATS.cab
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
O24 - Desktop Component 0: (no name) - C:\Programme\MSN Gaming Zone\profsy.html

--
End of file - 4900 bytes

Hoffe jemand kann mir helfen.

Danke im Voraus!

Geändert von Muhkuh88 (20.12.2007 um 23:52 Uhr) Grund: wichtiger Zusatz!

Alt 21.12.2007, 07:27   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Storageprotector.com"-Verlinkung auf Desktop - Standard

"Storageprotector.com"-Verlinkung auf Desktop



Hallo.

Ich seh da schonmal drei schädliche Dateien im HJT-Log. Die kannst du schonmal entfernen und zwar so:

1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\fuxpcjkc.dll
C:\WINDOWS\system32\windows
"C:\Programme\MSN Gaming Zone\profsy.html"
         
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Danach müssen wir die Analysen fortsetzen. Führ daher mal folgende Tools bzw. Anleitungen aus und poste die Logfiles:
* Blacklight
* eScan
* Silentrunners
Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________

Alt 21.12.2007, 20:51   #3
Muhkuh88
 
"Storageprotector.com"-Verlinkung auf Desktop - Standard

"Storageprotector.com"-Verlinkung auf Desktop



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bkrdbidu

*******************

Script file located at: \??\C:\WINDOWS\yfbquvea.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\fuxpcjkc.dll not found!
Deletion of file C:\WINDOWS\system32\fuxpcjkc.dll failed!

Could not process line:
C:\WINDOWS\system32\fuxpcjkc.dll
Status: 0xc0000034

File C:\WINDOWS\system32\windows deleted successfully.
File C:\Programme\MSN Gaming Zone\profsy.html deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




___________________________________________________________________
-möglich, dass Blacklight nicht zuende geführt wurde, PC hat von selber neugestartet(ist das normal?):

12/21/07 21:51:41 [Info]: BlackLight Engine 1.0.67 initialized
12/21/07 21:51:41 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/21/07 21:51:41 [Note]: 7019 4
12/21/07 21:51:41 [Note]: 7005 0
12/21/07 21:51:47 [Note]: 7006 0
12/21/07 21:51:47 [Note]: 7011 2028
12/21/07 21:51:47 [Note]: 7026 0
12/21/07 21:51:47 [Note]: 7026 0
12/21/07 21:51:49 [Note]: FSRAW library version 1.7.1024


___________________________________________________________

"h**p://files.trojaner-board.de/find.bat" zeigt mir nur eine Textdatei an, aber keinen download.
was soll ich machen?
__________________

Geändert von Muhkuh88 (21.12.2007 um 21:37 Uhr)

Alt 22.12.2007, 01:24   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Storageprotector.com"-Verlinkung auf Desktop - Standard

"Storageprotector.com"-Verlinkung auf Desktop



Zitat:
"h**p://files.trojaner-board.de/find.bat" zeigt mir nur eine Textdatei an, aber keinen download.
was soll ich machen?
Per Rechtsklick abspeichern und doppelklicken. Ist die Anleitung denn so unverständlich? Gib Feedback, dann kann man sie verbessern. Aber einfach nur ein "geht nicht" stimmt auch die Competenzler hier nicht fröhlicher....
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.12.2007, 11:02   #5
Damir87
 
"Storageprotector.com"-Verlinkung auf Desktop - Standard

"Storageprotector.com"-Verlinkung auf Desktop



hy..ich habe das selbe problem und wollte euch bitten mir zu helfen...

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]


Alt 22.12.2007, 13:22   #6
silentkiller
 
"Storageprotector.com"-Verlinkung auf Desktop - Standard

"Storageprotector.com"-Verlinkung auf Desktop



hallo, hab auch das selbe problem,

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Alt 23.12.2007, 13:36   #7
Muhkuh88
 
"Storageprotector.com"-Verlinkung auf Desktop - Standard

"Storageprotector.com"-Verlinkung auf Desktop



Danke für den Hinweis!

Tut mir leid, aber ich habe nirgends etwas von "per Rechtsklick abspeichern" gelesen. Habe nochmal deine Anleitung und die eScan-Anleitung durchgelesen und es nicht gefunden. Ich hoffe ich habe es nicht übersehen! Falls doch entschuldigie ich mich hiermit für meinen Fehler.

Zitat:
Die Auswertedatei herunterladen:
http://files.trojaner-board.de/find.bat
Ich dachte ich müsste nur auf den Links klicken und es würde ein automatischer Download gestartet. Aber das Problem ist ja jetzt gelöst. Danke nochmals für deine Bemühungen! Ohne die Hilfe des Forums würde für mich Weihnachten kein schönes Fest werden.

Hier das Logfile von find.bat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.3
Sprache: German
Virus-Datenbank Datum: 12/23/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "winfixer/errorsafe Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with banker.d Worm (helper.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with banker.d Worm (helper.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\policies/{6bf52a52-394a-11d3-b153-00c04f79faa6})! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\policies/{645ff040-5081-101b-9f08-00aa002f954e})! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\policies/{06849e9f-c8d7-4d59-b87d-784b7d6be0b3})! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\run//msconfig)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\b111.exe infiziert von "Trojan-Downloader.Win32.Agent.fjv" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\windows infiziert von "Trojan.Win32.Zapchast.dt" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\jppvqtey.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\vkqrgvhq.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\xrun.exe//Shrinker infiziert von "Trojan-Downloader.Win32.Agent.brq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Manu\LOKALE~1\TEMPOR~1\Content.IE5\CLI7KXE7\gamadril20071203[1] infiziert von "Backdoor.Win32.Agent.dbm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Manu\LOKALE~1\TEMPOR~1\Content.IE5\CLI7KXE7\gamadril20071203[2] infiziert von "Backdoor.Win32.Agent.dbm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Manu\LOKALE~1\TEMPOR~1\Content.IE5\EQ6D1HOE\gamadril20071203[1] infiziert von "Backdoor.Win32.Agent.dbm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Manu\LOKALE~1\TEMPOR~1\Content.IE5\FRT1DDTA\gamadril20071203[1] infiziert von "Backdoor.Win32.Agent.dbm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\avenger\backup.zip/avenger/windows infiziert von "Trojan.Win32.Zapchast.dt" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Manu\Eigene Dateien\ICQ Lite\WoW-2.0.0-deDE-Installer\DirectX\dxsetup.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Manu\Eigene Dateien\ICQ Lite\WoW-2.0.0-deDE-Installer\Installer.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temp\jppvqtey.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temp\vkqrgvhq.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temp\xrun.exe//Shrinker infiziert von "Trojan-Downloader.Win32.Agent.brq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CLI7KXE7\gamadril20071203[1] infiziert von "Backdoor.Win32.Agent.dbm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CLI7KXE7\gamadril20071203[2] infiziert von "Backdoor.Win32.Agent.dbm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EQ6D1HOE\gamadril20071203[1] infiziert von "Backdoor.Win32.Agent.dbm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FRT1DDTA\gamadril20071203[1] infiziert von "Backdoor.Win32.Agent.dbm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP182\A0174072.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.PurityScan.fa" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP185\A0177099.dll//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP185\A0177100.dll//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP185\A0177101.dll//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP185\A0177102.dll//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP185\A0177103.dll//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP185\A0177104.dll//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP185\A0177105.dll//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP185\A0177106.dll//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP185\A0177107.dll//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP189\A0180569.exe//UPX infiziert von "Trojan-Downloader.Win32.Agent.fct" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP189\A0180570.exe//UPX infiziert von "Trojan-Downloader.Win32.Agent.fcp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP189\A0180571.exe infiziert von "Trojan.Win32.Agent.crf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP189\A0180572.exe infiziert von "Trojan-Downloader.Win32.Agent.erf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP189\A0180573.exe infiziert von "Trojan-Downloader.Win32.Agent.ezc" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP189\A0180574.exe infiziert von "Trojan-Downloader.Win32.Agent.fjn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\b111.exe infiziert von "Trojan-Downloader.Win32.Agent.fjv" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\windows infiziert von "Trojan.Win32.Zapchast.dt" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\mlljh.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.bjp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\mlljh.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.bjp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\anetufin.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.ae". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\dolkyysa.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\kwvbsfol.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.bjc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\mlljh.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.bjp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\tkbpwjcy.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\wfhehlkk.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\Manu\LOKALE~1\Temp\mit55.tmp/Mirar_VC_Setup_876923.exe markiert als "not-a-virus:AdWare.Win32.Mirar.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\Manu\LOKALE~1\Temp\temp.fr6C3A markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\Manu\LOKALE~1\TEMPOR~1\Content.IE5\CDA30LYN\hctp[1] markiert als "not-a-virus:AdWare.Win32.Virtumonde.bjc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\Manu\LOKALE~1\TEMPOR~1\Content.IE5\CLI7KXE7\hctp[1] markiert als "not-a-virus:AdWare.Win32.Virtumonde.bjc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\Manu\LOKALE~1\TEMPOR~1\Content.IE5\EQ6D1HOE\hctp[1] markiert als "not-a-virus:AdWare.Win32.Virtumonde.bjc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\Manu\LOKALE~1\TEMPOR~1\Content.IE5\EQ6D1HOE\ptch[1] markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\Manu\LOKALE~1\TEMPOR~1\Content.IE5\Y30JELS3\ptch[1] markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\Manu\LOKALE~1\TEMPOR~1\Content.IE5\Y30JELS3\ptch[2] markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temp\mit55.tmp/Mirar_VC_Setup_876923.exe markiert als "not-a-virus:AdWare.Win32.Mirar.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temp\temp.fr6C3A markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDA30LYN\hctp[1] markiert als "not-a-virus:AdWare.Win32.Virtumonde.bjc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CLI7KXE7\hctp[1] markiert als "not-a-virus:AdWare.Win32.Virtumonde.bjc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EQ6D1HOE\hctp[1] markiert als "not-a-virus:AdWare.Win32.Virtumonde.bjc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EQ6D1HOE\ptch[1] markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y30JELS3\ptch[1] markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y30JELS3\ptch[2] markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP179\A0172788.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.aps". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP189\A0180521.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP189\A0180523.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP189\A0180525.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP189\A0180529.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP189\A0180532.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP189\A0180537.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP189\A0180538.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP189\A0180542.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.af". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP189\A0180547.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP189\A0180552.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP189\A0180578.dll markiert als "not-a-virus:AdWare.Win32.TTC.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP192\A0183682.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP195\A0185359.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.bjc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{F52DD780-E75F-4396-A3A6-D563C04C3AF0}\RP195\A0189388.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.bjc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\anetufin.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.ae". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\dolkyysa.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\kwvbsfol.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.bjc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\mlljh.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.bjp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\tkbpwjcy.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\wfhehlkk.dll markiert als "not-a-virus:AdWare.Win32.SuperJuan.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\DOKUME~1\Manu\LOKALE~1\Temp\helper.dll
Offending file found: C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\temp\helper.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\error safe free !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0386c63e-2faf-11dc-a937-0060b3a20639} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\Manu\LOKALE~1\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 172504
Gefundene Viren: 91
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 231
Dauer des Scans bisher: 01:28:32
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 14:35:05,45
Batchende: 14:35:36,20

Geändert von Muhkuh88 (23.12.2007 um 13:44 Uhr)

Alt 23.12.2007, 13:53   #8
Muhkuh88
 
"Storageprotector.com"-Verlinkung auf Desktop - Standard

"Storageprotector.com"-Verlinkung auf Desktop



Hier das Logfile von "Silent Runners":

"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Resume copy" = "copyfstq.exe /startup" [null data]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay" [null data]
"Prism_Utility" = "Prismsta.exe" ["Intersil Americas Inc."]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"
"a4c5ae82" = "rundll32.exe "C:\WINDOWS\system32\qwtiuvfn.dll",b" [MS]
"MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
{90CB7A25-859E-4A1A-942E-C2833842B5A9}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Windows Media Player\hokerowo4444.dll" [file not found]
{984960FD-3E45-45F0-5EB4-7806EFF83E57}\(Default) = "0"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\MSN Gaming Zone\lavu937.dll" [file not found]
{A0D8769F-B523-431C-B0F5-A5F7E988C0AA}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\mlljh.dll" [null data]
{A95B2816-1D7E-4561-A202-68C0DE02353A}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\jxjowfup.dll" [null data]
{c484d4ba-9cf5-472a-a26a-2c8d0a0388ca}\(Default) = "{ac8830a0-d8c2-a62a-a274-5fc9ab4d484c}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nfpguult.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{A4D78B20-6E05-1069-8758-4E73FD83DEAD}" = "QCopy"
-> {HKLM...CLSID} = "QCopy"
\InProcServer32\(Default) = "dropcpyr.dll" [null data]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"]
"{A5D35F9F-6A11-4EAA-B70B-7BB6FE32663A}" = "XnView Shell Extension"
-> {HKLM...CLSID} = "XnViewShell Class"
\InProcServer32\(Default) = "C:\Programme\XnView\XnViewShellExt.dll" [empty string]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> jxjowfup\DLLName = "jxjowfup.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
IXnView\(Default) = "{A5D35F9F-6A11-4EAA-B70B-7BB6FE32663A}"
-> {HKLM...CLSID} = "XnViewShell Class"
\InProcServer32\(Default) = "C:\Programme\XnView\XnViewShellExt.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
LockFolder\(Default) = "{4852341A-43E6-4994-B29B-E82904992884}"
-> {HKLM...CLSID} = "LckFldMenu.Locker"
\InProcServer32\(Default) = "C:\Programme\FolderAccess\LckFldMenu.dll" ["Topdownloads Network"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ClearRecentDocsOnExit" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "%APPDATA%\XnView\xnviewshell_wallpaper.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Manu\Anwendungsdaten\XnView\xnviewshell_wallpaper.bmp"

Active Desktop web content (hidden if disabled):

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = ""
"Source" = "C:\Programme\MSN Gaming Zone\profsy.html"
"SubscribedURL" = ""


Startup items in "Manu" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{0E921E80-267A-42AA-AEE4-60B9A1222A44}\
"ButtonText" = "Klicke hier um das Projekt xp-AntiSpy zu unterstützen"
"MenuText" = "Unterstützung für xp-AntiSpy"
"Exec" = "C:\Programme\xp-AntiSpy\sponsoring\sponsor.html" [null data]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [file not found]


Miscellaneous IE Hijack Points
------------------------------

HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------

ATI Smart, ATI Smart, "C:\WINDOWS\system32\ati2sgag.exe" [empty string]
Dienst für Seriennummern der tragbaren Medien, WmdmPmSN, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\MsPMSNSv.dll" [MS]}
DomainService, DomainService, "C:\WINDOWS\system32\xjpmgiux.exe /service" [" "]
Netzwerkversorgungsdienst, xmlprov, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\xmlprov.dll" [MS]}
PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data]
Verwaltungsdienst für die Verwaltung logischer Datenträger, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
WMI-Leistungsadapter, WmiApSrv, "C:\WINDOWS\system32\wbem\wmiapsrv.exe" [MS]


---------- (launch time: 2007-12-23 14:48:00)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 53 seconds, including 18 seconds for message boxes)

Alt 23.12.2007, 14:03   #9
Muhkuh88
 
"Storageprotector.com"-Verlinkung auf Desktop - Standard

"Storageprotector.com"-Verlinkung auf Desktop



Hier der link zu listing.txt:

h**p://www.file-upload.net/download-571071/listing.txt.html

Habe jetzt deinen Hinweis gefunden, aber die Anleitung, wie man mit einem Skript umgeht, steht erst bei listining7 und soweit war ich leider noch nicht.


Die Links von "Storageprotector" lassen sich jetzt löschen! Zunächst sind die Icons nicht mehr angezeigt worden, daraufhin habe es nochmals versucht sie zu löschen, was am Anfnag nie funktioniert hat. Heißt das, dieser spezielle Trojaner ist nun gelöscht?

Geändert von Muhkuh88 (23.12.2007 um 14:16 Uhr)

Alt 23.12.2007, 17:19   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Storageprotector.com"-Verlinkung auf Desktop - Standard

"Storageprotector.com"-Verlinkung auf Desktop



Willst du immer noch bereinigen?

Zitat:
Datei C:\DOKUME~1\Manu\LOKALE~1\TEMPOR~1\Content.IE5\CLI 7KXE7\gamadril20071203[1] infiziert von "Backdoor.Win32.Agent.dbm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Bei dir werden Backdoors gefunden...und auch sonst hast du extrem viele Schädlingseinträge drin, da macht eine Bereinigung imho kaum noch einen Sinn. Folge dem Link neu aufsetzen in meiner Signatur.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.12.2007, 17:31   #11
Muhkuh88
 
"Storageprotector.com"-Verlinkung auf Desktop - Standard

"Storageprotector.com"-Verlinkung auf Desktop



Es könnte dauern bis ich es schaffe das Sytsem neu aufzusetzten.
Bringt es mir bis dahin etwas, trotzdem zu bereinigen?

Danke für Alles und frohe Weihnachten!
Grüße Manu

Alt 23.12.2007, 18:20   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Storageprotector.com"-Verlinkung auf Desktop - Standard

"Storageprotector.com"-Verlinkung auf Desktop



Zitat:
Bringt es mir bis dahin etwas, trotzdem zu bereinigen?
Naja, bis du es dann komplett neu aufsetzt könnte man das machen. Öffne wieder den Avenger wie vorhin aber kopier diesmal diesen Text rein (vorsicht, der ist lang!)

Code:
ATTFilter
Files to delete:
C:\WINDOWS\b111.exe
C:\WINDOWS\system32\windows
C:\WINDOWS\system\CmiCnfg.ini
C:\WINDOWS\system32\hjllm.ini
C:\WINDOWS\system32\jxjowfup.dllbox
C:\WINDOWS\system32\nfvuitwq.ini
C:\WINDOWS\system32\qwtiuvfn.dll
C:\WINDOWS\system32\nfpguult.dll
C:\WINDOWS\system32\wqfvmbvp.exe
C:\WINDOWS\system32\hjllm.bak2
C:\WINDOWS\system32\htvfgwlu.dll
C:\WINDOWS\system32\xvebmhxi.ini
C:\WINDOWS\system32\ixhmbevx.dll
C:\WINDOWS\system32\cuuoqxrw.exe
C:\WINDOWS\system32\drvmnxkg.ini
C:\WINDOWS\system32\windows
C:\WINDOWS\system32\wfhehlkk.dll
C:\WINDOWS\system32\lofsbvwk.ini
C:\WINDOWS\system32\hgyrcgjx.exe
C:\WINDOWS\system32\kwvbsfol.dll
C:\WINDOWS\system32\tkbpwjcy.dll
C:\WINDOWS\system32\yissldwx.exe
C:\WINDOWS\system32\twowjliu.ini
C:\WINDOWS\system32\bdod.bin
C:\WINDOWS\system32\pmofkqlx.dll
C:\WINDOWS\system32\mmlbgiic.dll
C:\WINDOWS\system32\dolkyysa.dll
C:\WINDOWS\system32\xjpmgiux.exe
C:\WINDOWS\system32\ckjcpxuf.ini
C:\WINDOWS\system32\jxjowfup.dll
C:\WINDOWS\system32\rqukfqtn.dll
C:\WINDOWS\system32\onemeeat.ini
C:\WINDOWS\system32\hjllm.ini2
C:\WINDOWS\system32\mslck.dat
C:\WINDOWS\system32\CmdLineExt03.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\cnvuidqy.ini
C:\WINDOWS\system32\tucdotbr.ini
C:\WINDOWS\system32\cwpmcqsm.ini
C:\WINDOWS\system32\wintsvtr32.exe
C:\WINDOWS\system32\pmyxkfvx.ini
C:\WINDOWS\system32\auoglfib.ini
C:\WINDOWS\system32\vnypvaon.ini
C:\WINDOWS\system32\pxocfbfs.ini
C:\WINDOWS\system32\hjllm.bak1
C:\WINDOWS\system32\bomejfte.ini
C:\WINDOWS\system32\clnkoqol.dll
C:\WINDOWS\system32\rbobqulc.ini
C:\WINDOWS\system32\bttxvgfm.ini
C:\WINDOWS\system32\vhcdxwht.ini
C:\WINDOWS\system32\anetufin.dll
C:\WINDOWS\system32\mlljh.dll

Folders to delete:
C:\DOKUME~1\Manu\LOKALE~1\TEMPOR~1\Content.IE5\CLI7KXE7\
C:\DOKUME~1\Manu\LOKALE~1\TEMPOR~1\Content.IE5\EQ6D1HOE\
C:\DOKUME~1\Manu\LOKALE~1\TEMPOR~1\Content.IE5\FRT1DDTA\
C:\WINDOWS\system32\l4
C:\WINDOWS\system32\daSgo01
C:\WINDOWS\system32\f3
C.\WINDOWS\TWFudWVsIE4u
         
Starte Windows wieder neu und poste das Avenger-Logfile.
Du solltest auch mal diese Dateien hier löschen, die sich direkt auf C:\ tummeln, die sehen so aus: pos25BA.tmp - die kannst du alle löschen! Lass dir alle Dateien anzeigen unter Windows.

Mach danach ein neues Filelisting, dann gehts weiter.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.12.2007, 19:34   #13
Muhkuh88
 
"Storageprotector.com"-Verlinkung auf Desktop - Standard

"Storageprotector.com"-Verlinkung auf Desktop



So, hier nochmal die letzte Logfile:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kkkhxnft

*******************

Script file located at: \??\C:\Program Files\oiijvdxh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\b111.exe deleted successfully.


File C:\WINDOWS\system32\windows not found!
Deletion of file C:\WINDOWS\system32\windows failed!

Could not process line:
C:\WINDOWS\system32\windows
Status: 0xc0000034

File C:\WINDOWS\system\CmiCnfg.ini deleted successfully.
File C:\WINDOWS\system32\hjllm.ini deleted successfully.
File C:\WINDOWS\system32\jxjowfup.dllbox deleted successfully.
File C:\WINDOWS\system32\nfvuitwq.ini deleted successfully.
File C:\WINDOWS\system32\qwtiuvfn.dll deleted successfully.
File C:\WINDOWS\system32\nfpguult.dll deleted successfully.
File C:\WINDOWS\system32\wqfvmbvp.exe deleted successfully.
File C:\WINDOWS\system32\hjllm.bak2 deleted successfully.
File C:\WINDOWS\system32\htvfgwlu.dll deleted successfully.
File C:\WINDOWS\system32\xvebmhxi.ini deleted successfully.
File C:\WINDOWS\system32\ixhmbevx.dll deleted successfully.
File C:\WINDOWS\system32\cuuoqxrw.exe deleted successfully.
File C:\WINDOWS\system32\drvmnxkg.ini deleted successfully.


File C:\WINDOWS\system32\windows not found!
Deletion of file C:\WINDOWS\system32\windows failed!

Could not process line:
C:\WINDOWS\system32\windows
Status: 0xc0000034

File C:\WINDOWS\system32\wfhehlkk.dll deleted successfully.
File C:\WINDOWS\system32\lofsbvwk.ini deleted successfully.
File C:\WINDOWS\system32\hgyrcgjx.exe deleted successfully.
File C:\WINDOWS\system32\kwvbsfol.dll deleted successfully.
File C:\WINDOWS\system32\tkbpwjcy.dll deleted successfully.
File C:\WINDOWS\system32\yissldwx.exe deleted successfully.
File C:\WINDOWS\system32\twowjliu.ini deleted successfully.
File C:\WINDOWS\system32\bdod.bin deleted successfully.
File C:\WINDOWS\system32\pmofkqlx.dll deleted successfully.
File C:\WINDOWS\system32\mmlbgiic.dll deleted successfully.
File C:\WINDOWS\system32\dolkyysa.dll deleted successfully.
File C:\WINDOWS\system32\xjpmgiux.exe deleted successfully.
File C:\WINDOWS\system32\ckjcpxuf.ini deleted successfully.
File C:\WINDOWS\system32\jxjowfup.dll deleted successfully.
File C:\WINDOWS\system32\rqukfqtn.dll deleted successfully.
File C:\WINDOWS\system32\onemeeat.ini deleted successfully.
File C:\WINDOWS\system32\hjllm.ini2 deleted successfully.
File C:\WINDOWS\system32\mslck.dat deleted successfully.
File C:\WINDOWS\system32\CmdLineExt03.dll deleted successfully.
File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
File C:\WINDOWS\system32\cnvuidqy.ini deleted successfully.
File C:\WINDOWS\system32\tucdotbr.ini deleted successfully.
File C:\WINDOWS\system32\cwpmcqsm.ini deleted successfully.
File C:\WINDOWS\system32\wintsvtr32.exe deleted successfully.
File C:\WINDOWS\system32\pmyxkfvx.ini deleted successfully.
File C:\WINDOWS\system32\auoglfib.ini deleted successfully.
File C:\WINDOWS\system32\vnypvaon.ini deleted successfully.
File C:\WINDOWS\system32\pxocfbfs.ini deleted successfully.
File C:\WINDOWS\system32\hjllm.bak1 deleted successfully.
File C:\WINDOWS\system32\bomejfte.ini deleted successfully.
File C:\WINDOWS\system32\clnkoqol.dll deleted successfully.
File C:\WINDOWS\system32\rbobqulc.ini deleted successfully.
File C:\WINDOWS\system32\bttxvgfm.ini deleted successfully.
File C:\WINDOWS\system32\vhcdxwht.ini deleted successfully.
File C:\WINDOWS\system32\anetufin.dll deleted successfully.
File C:\WINDOWS\system32\mlljh.dll deleted successfully.
Folder C:\DOKUME~1\Manu\LOKALE~1\TEMPOR~1\Content.IE5\CLI7KXE7 deleted successfully.
Folder C:\DOKUME~1\Manu\LOKALE~1\TEMPOR~1\Content.IE5\EQ6D1HOE deleted successfully.
Folder C:\DOKUME~1\Manu\LOKALE~1\TEMPOR~1\Content.IE5\FRT1DDTA deleted successfully.
Folder C:\WINDOWS\system32\l4 deleted successfully.
Folder C:\WINDOWS\system32\daSgo01 deleted successfully.
Folder C:\WINDOWS\system32\f3 deleted successfully.


Could not open folder C.\WINDOWS\TWFudWVsIE4u for deletion
Deletion of folder C.\WINDOWS\TWFudWVsIE4u failed!

Could not process line:
C.\WINDOWS\TWFudWVsIE4u
Status: 0xc000003a


Completed script processing.

*******************

Finished! Terminate.



Ich hoffe man trifft sich in diesem Rahmen nicht nochmal. Ich werde versuchen die Ratschläge in Bezug auf Sicherung meines Rechners umzusetzen. Dann dürfte es noch hoffentlich mal ne Weile ohne Viren gehen^^.

Schöne Feiertage und einen guten Rutsch. Es ist nicht selbstverstädnlich einem gequalten User noch so kurz vor Heilig Abend die nötige Aufmerksamkeit und Hilfsbereitschaft zukommen zu lassen wie es hier geschehen ist.
Tausend Dank!

Manu

Alt 23.12.2007, 19:39   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Storageprotector.com"-Verlinkung auf Desktop - Standard

"Storageprotector.com"-Verlinkung auf Desktop



Okay, die meisten Dateien konnte er löschen. Einige Objekte waren aber anscheinend schon während des Löschens nicht mehr da.

Hast du die Tempdateien in C:\ gelöscht? Du solltest die auch per Eingabeauffoderung löschen können:

1. Klick auf Start, Ausführen
2. Tipp cmd ein und bestätige mit ok - das schwarze Konsolenfenster öffnet sich
3. Tipp diesen Befehl ein und bestätige mit Enter:

Code:
ATTFilter
del c:\*.tmp /f /q
         
Mach danach bitte ein neues Filelisting. Lösch die alte listing.txt vom Desktop und klick nochmal das listing7.cmd doppelt an. Das neue listing.txt wieder hochladen und hier verlinken.

Edit: Da fällt mir noch ein, dass es vllt. sinnvoll wäre, die gelöschten Dateien auszuwerten. Lad also auch mal die Datei
c:\avenger\backup.zip hoch nach fileupload.net und verlink es hier ebenfalls.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.12.2007, 00:32   #15
Muhkuh88
 
"Storageprotector.com"-Verlinkung auf Desktop - Standard

"Storageprotector.com"-Verlinkung auf Desktop



Listing.txt:
http://www.file-upload.net/download-572172/listing.txt.html

backup.zip:
http://www.file-upload.net/download-572329/backup.zip.html

Antwort

Themen zu "Storageprotector.com"-Verlinkung auf Desktop
adobe, antivir, avg, avgnt, avgnt.exe, booten, ctfmon.exe, defender, desktop, explorer, firefox, handel, help, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, leerer desktop, logfile, mozilla, mozilla firefox, problem, rundll, s-1-5-18, scan, server, software, taskmanager, trend micro, trojaner, virus, windows, windows xp



Ähnliche Themen: "Storageprotector.com"-Verlinkung auf Desktop


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  3. "Antiviren Werbung" "Langsamer PC" "PC stürzt ab" Banner und Popups beim surfen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2013 (28)
  4. da warens nur noch 3: "assembly\GAC_32(64)\Desktop.ini" & "Fehlercode 0x80070424"
    Plagegeister aller Art und deren Bekämpfung - 02.10.2013 (17)
  5. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  6. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  7. Trojaner "Es besteht keine Internetverbindung" - "REATOGO X-PE Desktop" wird nicht angezeigt
    Plagegeister aller Art und deren Bekämpfung - 05.02.2012 (19)
  8. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  9. Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Alles rund um Windows - 16.04.2011 (0)
  10. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  11. "error cleaner" "privacy protector" "spyware&malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (7)
  12. "error cleaner" "privacy protector" "spyware und malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (2)
  13. Storageprotector Verlinkungen auf Desktop
    Plagegeister aller Art und deren Bekämpfung - 13.02.2008 (1)
  14. Storageprotector.com Verlinkung auf Desktop
    Plagegeister aller Art und deren Bekämpfung - 05.01.2008 (1)
  15. Beheben des Problems "kein Internet"/"rsvp32_2.dll"/"Can't load library from memory"
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (22)
  16. Falsche Verlinkung auf Ordner "NetworkService"
    Alles rund um Windows - 09.11.2006 (1)
  17. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)

Zum Thema "Storageprotector.com"-Verlinkung auf Desktop - Hi, ich habe ein Problem mit einem Trojaner, im Netz auch bekannt als "Storageprotector". Es handelt sich ferner um zwei Links auf meinem Desktop ("Windows Updater" & "Help and Support - "Storageprotector.com"-Verlinkung auf Desktop...
Archiv
Du betrachtest: "Storageprotector.com"-Verlinkung auf Desktop auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.