Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.04.2008, 21:15   #1
Yule
 
Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter? - Standard

Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?



Hallo liebe Helfer und dankbare Geholfene!

Zu Letzterem gehöre leider auch ich. Hab mir vor Tagen zlob eingefangen und möglicherweise noch weitere Malware.
Habe die Anleitung-zur-Entfernung-von-Zlob hier befolgt, doch ist Kapersky beim Online-Scan trotzdem noch fündig geworden.
Am liebsten würde ich neu aufsetzen, doch bin ich z.Z. auf Dienstreise und hab die WindowsXP-Installationsdisk nicht hier. Neu aufsetzen könnte ich erst wieder in einem Monat.
Wie in der erwähnten Anleitung gefordert, poste ich hier den HT-Log, den Smitfraudfix-Rapport, die vier Logfiles der Datfind.bat sowie das Protokoll des Kapersky OnlineScans (in der Reihenfolge).

Kapersky hat zuletzt noch 3 Viren und 9 infizierte Dateien erkannt. Doch wollte ich erst Euren Rat einholen (habe schon vor meiner Registrieren hier viel gelesen und gefunden), bevor ich weitere Schritte unternehme.

Vielen Dank schon mal im Voraus! Yule

HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:59:51, on 17.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111413144246
O17 - HKLM\System\CCS\Services\Tcpip\..\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}: NameServer = 195.182.110.132 62.134.11.4
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 6239 bytes


SmitFraudFix v2.314

Scan done at 21:01:26,95, 17.04.2008
Run from C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\o2\Surf Box mini\o2 Surf Box mini.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Besitzer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Besitzer\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\BESITZER\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 195.182.110.132
DNS Server Search Order: 62.134.11.4

HKLM\SYSTEM\CCS\Services\Tcpip\..\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}: NameServer=195.182.110.132 62.134.11.4
HKLM\SYSTEM\CS1\Services\Tcpip\..\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}: NameServer=195.182.110.132 62.134.11.4


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



Datfind.bat
17.04.2008 21:02 3.827 rapport.txt
17.04.2008 20:52 0 dirdat.txt
17.04.2008 18:14 519.622.656 hiberfil.sys
17.04.2008 18:14 779.329.536 pagefile.sys


Kapersky
Untersuchte Objekte insgesamt 61630
Viren gefunden 3
Infizierte Objekte gefunden 9
Verdächtige Objekte gefunden 0
Untersuchungszeit 01:36:51

Name des infizierten Objekts Virusname Letzte Aktion
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT026fa.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT00a4a.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\ACER-5J0JDWIJ8Z.ldb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\SmitfraudFix.exe/data.rar/SmitfraudFix/Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\SmitfraudFix.exe/data.rar Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\SmitfraudFix.exe RarSFX: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\JET2E1C.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\fla3113.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\Cache\2DEC17E8d01 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\o2\Surf Box mini\vWTP.mdb Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP7\A0004801.exe/data.rar/SmitfraudFix/Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP7\A0004801.exe/data.rar Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP7\A0004801.exe RarSFX: infiziert - 2 übersprungen
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP7\change.log Das Objekt ist gesperrt übersprungen
C:\FOUND.000\FILE0003.CHK Infizierte Objekte: not-a-virusownloader.Win32.WinFixer.dz übersprungen
C:\!KillBox\NetProject\sbun.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.kry übersprungen
C:\!KillBox\sbun.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.kry übersprungen
Die Untersuchung wurde abgeschlossen.

Alt 18.04.2008, 10:55   #2
Sabina
 
Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter? - Standard

Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?



Hallo Yule

bist du bei einem englischen Provider angemeldet ?
Domain Name: IGNITE.NET
Registrar: NETWORK SOLUTIONS, LLC.

BRITISH TELECOMMUNICATIONS PLC

---------

wende bitte Combofix an + poste hier den Report
combofix
__________________

__________________

Alt 18.04.2008, 16:06   #3
Yule
 
Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter? - Standard

Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?



Hallo Sabina!

bist du bei einem englischen Provider angemeldet ?
Domain Name: IGNITE.NET
Registrar: NETWORK SOLUTIONS, LLC.

BRITISH TELECOMMUNICATIONS PLC

Nicht, dass ich wüsste. Was hat das zu bedeuten?? Da ich wie geschrieben z.Z. unterwegs bin, gehe ich via Wlan meines Netzanbieters online.
Hab inzwischen auch noch Malwarebytes scannen lassen, der ebenfalls fündig wurde.

Hier aber der Combofix-Report:

ComboFix 08-04-17.1 - Besitzer 2008-04-18 15:44:52.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.189 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\pthreadVC.dll
D:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-03-18 bis 2008-04-18 ))))))))))))))))))))))))))))))
.

2008-04-18 09:35 . 2008-04-18 09:35 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-18 09:35 . 2008-04-18 09:35 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-04-18 09:35 . 2008-04-18 09:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-18 06:47 . 2008-04-18 07:03 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-04-18 06:47 . 2008-04-18 07:03 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-04-18 06:43 . 2008-04-18 06:43 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-04-18 06:43 . 2008-04-18 15:50 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-18 06:43 . 2008-04-18 15:50 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-18 06:43 . 2008-04-18 15:50 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-18 06:43 . 2008-04-18 15:50 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-16 22:27 . 2008-04-16 22:27 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-16 22:27 . 2008-04-16 22:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-04-16 21:31 . 2008-04-16 21:31 <DIR> d-------- C:\Programme\CleanUp!
2008-04-16 20:47 . 2008-04-16 20:47 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sony Ericsson
2008-04-16 20:35 . 2008-04-16 20:35 5,632 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-04-16 18:47 . 2008-04-16 18:47 <DIR> d--hs---- C:\FOUND.001
2008-04-02 08:15 . 2008-04-02 08:16 <DIR> d-------- C:\kav
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-01 19:32 . 2003-06-23 18:49 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-01 19:32 . 2003-06-23 18:49 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-01 19:32 . 2003-06-23 19:08 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterTrust
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-01 19:32 . 2008-04-01 19:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-01 19:32 . 2008-04-18 15:44 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-03-30 20:37 . 2008-03-30 20:37 <DIR> d-------- C:\!KillBox
2008-03-30 19:56 . 2008-04-17 21:01 3,292 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-30 19:55 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-03-30 19:55 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-03-30 19:55 . 2008-03-28 23:19 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-03-30 19:55 . 2008-03-26 08:50 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-03-30 19:55 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-03-30 19:55 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-03-30 19:55 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-03-30 16:52 . 2008-03-30 16:52 <DIR> d--hs---- C:\FOUND.000
2008-03-30 13:32 . 2008-03-30 13:32 <DIR> d-------- C:\Programme\Trend Micro
2008-03-30 11:09 . 2008-03-30 11:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-19 12:18 . 2008-03-19 12:24 23,392 --a------ C:\WINDOWS\system32\nscompat.tlb
2008-03-19 12:18 . 2008-03-19 12:24 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb
3 Datei(en) . 787,646 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ------w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ------w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-15 09:07 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe
2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
1999-03-11 17:22 99,840 ----a-w C:\Programme\Gemeinsame Dateien\IRAABOUT.DLL
1998-12-09 02:53 70,144 ----a-w C:\Programme\Gemeinsame Dateien\IRAMDMTR.DLL
1998-12-09 02:53 48,640 ----a-w C:\Programme\Gemeinsame Dateien\IRALPTTR.DLL
1998-12-09 02:53 31,744 ----a-w C:\Programme\Gemeinsame Dateien\IRAWEBTR.DLL
1998-12-09 02:53 186,368 ----a-w C:\Programme\Gemeinsame Dateien\IRAREG.DLL
1998-12-09 02:53 17,920 ----a-w C:\Programme\Gemeinsame Dateien\IRASRIAL.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"SoundMan"="SOUNDMAN.EXE" [2003-06-20 19:55 55296 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-23 10:35 88267 C:\WINDOWS\AGRSMMSG.exe]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2002-07-25 04:49 151552]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Omnipage"="C:\Programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 11:38 49152]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-02-07 08:39 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-02-07 08:36 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-02-07 08:40 118784]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-07-03 01:07 802816]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-07-02 21:50 700416]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 08:16 528384]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 18:36 227856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Besitzer^Startmenü^Programme^Autostart^StarOffice 7.lnk]
path=C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\StarOffice 7.lnk
backup=C:\WINDOWS\pss\StarOffice 7.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--------- 2003-06-30 16:49 1130546 C:\Programme\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zone Labs Client]
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\System32\\DPLAYSVR.EXE"=
"C:\\Programme\\NewSoft\\Presto! PageManager 6\\NetGroup.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8ca2c700-8f7e-11dc-91d6-00023f13eb3d}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8ca2c701-8f7e-11dc-91d6-00023f13eb3d}]
\Shell\AutoRun\command - F:\AutoRun.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-04-18 11:34:56 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-18 15:53:29
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRAMME\INTEL\WIRELESS\BIN\EVTENG.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\S24EVMON.EXE
C:\WINDOWS\SYSTEM32\BMWEBCFG.EXE
C:\PROGRAMME\AHEAD\INCD\INCDSRV.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\REGSRVC.EXE
C:\PROGRAMME\ADOBE\ACROBAT 6.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAMME\APOINT2K\APNTEX.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-18 15:59:12 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-18 13:58:32

26 Verzeichnis(se), 5,140,742,144 Bytes frei
32 Verzeichnis(se), 5,014,568,960 Bytes frei
.
2008-04-11 11:07:13 --- E O F ---
__________________

Alt 18.04.2008, 16:10   #4
Sabina
 
Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter? - Standard

Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?



Hallo Yule,

O17 - HKLM\System\CCS\Services\Tcpip\..\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}: NameServer = 195.182.110.132 62.134.11.4

diese verbindung geht ins Vereinigte Königreich
BRITISH TELECOMMUNICATIONS PLC

Bist du zufällig dort (siehe wlan) ?
__________________
MfG Sabina

Alt 18.04.2008, 16:13   #5
Yule
 
Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter? - Standard

Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?



Hallo Sabina!

Nein! Bin gerade in Norddeutschland. Wie kommt das? Ist mir Laien noch nicht aufgefallen.

Dank' Dir!


Alt 18.04.2008, 16:19   #6
Sabina
 
Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter? - Standard

Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?



Hallo,

wende fixwareout an + poste den report
FixWareout

+
ein neues log vom HijackThis
__________________
--> Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?

Alt 18.04.2008, 16:32   #7
Yule
 
Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter? - Standard

Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?



Hallo Sabina!

Ist geschehen (muss ich mir wegen dem engl. Provider sorgen machen?):




Username "Besitzer" - 18.04.2008 16:22:30 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"LaunchApp"="Alaunch"
"SoundMan"="SOUNDMAN.EXE"
"AGRSMMSG"="AGRSMMSG.exe"
"Apoint"="C:\\Programme\\Apoint2K\\Apoint.exe"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Omnipage"="C:\\Programme\\ScanSoft\\OmniPageSE\\opware32.exe"
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"IntelZeroConfig"="\"C:\\Programme\\Intel\\Wireless\\bin\\ZCfgSvc.exe\""
"IntelWireless"="\"C:\\Programme\\Intel\\Wireless\\Bin\\ifrmewrk.exe\" /tf Intel PROSet/Wireless"
"Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"AVP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\avp.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Alt 18.04.2008, 17:39   #8
Sabina
 
Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter? - Standard

Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?



poste bitte ein neues log vom HijackThis
__________________
MfG Sabina

Alt 18.04.2008, 19:00   #9
Yule
 
Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter? - Standard

Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?



Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Alt 18.04.2008, 22:20   #10
Sabina
 
Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter? - Standard

Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?



Hallo,

mich interessiert im Grunde nur dieser Teil: der 017-Eintrag..ist es immer noch dieser ?
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}: NameServer = 195.182.110.132 62.134.11.4
__________________
MfG Sabina

Alt 18.04.2008, 22:33   #11
BataAlexander
> MalwareDB
 
Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter? - Standard

Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?



Zitat:
Zitat von Sabina Beitrag anzeigen
mich interessiert im Grunde nur dieser Teil: der 017-Eintrag..ist es immer noch dieser ?
Ja ist es

Alt 19.04.2008, 00:02   #12
Sabina
 
Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter? - Standard

Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?



«
danke Alexander

«
Yule

mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}: NameServer = 195.182.110.132 62.134.11.4
««
Arbeitsplatz - Systemsteuerung - Netzwerk
Eigenschaften von TCP/IP, Register Allgemein, Option: IP-Adresse automatisch + DNS-Server-Adresse automatisch beziehen - anhaken

««
wende noch mal fixwareout an , der Rechner wird neustarten

««
dann poste vom Hijakthis (nach Neustart) , den 017-Eintrag
__________________
MfG Sabina

Alt 19.04.2008, 07:37   #13
Yule
 
Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter? - Standard

Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?



Hallo!

Pardon, dass ich das Editieren vergessen habe!

Habe gemacht, wie Du mir empfohlen hast, Sabina. Hier ist der O17-Eintrag:

O17 - HKLM\System\CCS\Services\Tcpip\..\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}: NameServer = 195.182.110.132 62.134.11.4

Offensichtlich hat sich aber nichts geändert. Was bedeutet das?

Viele Grüße Yule

Geändert von Yule (19.04.2008 um 07:44 Uhr)

Alt 19.04.2008, 12:51   #14
Sabina
 
Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter? - Standard

Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?



Hallo,

ein Virus/Trojaner - hat nicht nur in der registry rumgestellt, sondern auch deine TCP-Verbindung "gekapert" - somit wird deine Internetverbindung umgeleitet und du surfst auf Seiten, die "vom Ersteller der Malware vorbestimmt" sind. Kommen popups ? Komische Seiten ? Manche Seiten, die du aufrufst, werden nicht angezeigt ???

jetztiger Provider:
Zitat:
BRITISH TELECOMMUNICATIONS PLC
PP. G555
81 Newgate Street
London, London ec1a 7aj
UK
wer ist dein Internetanbieter ?

---------------------------------------------------
««
RegSearch

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

------------

««
wende winpfind an - alles anhaken, wie beschrieben + poste den report (am besten als txt-Datei erstellen + hier als Anhang hochladen)
WinPFind3



«
__________________
MfG Sabina

Alt 20.04.2008, 09:11   #15
Yule
 
Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter? - Standard

Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?



Hallo Sabina!

Danke für die interessante Info! Klingt sehr beunruhigend!! Mein Anbieter ist o2. An sich konnte ich beim Internet-Surfen keine ungewöhnlichen Ereignisse feststellen. Einmal allerdings konnte ich bei Gmx keine Emails abrufen, weil es hieß, dass jemand dreimal das Passwort falsch eingegeben hätte. Was ich nicht getan habe. Aber das war einmalig und kam nicht wieder vor.
WinPfind konnte ich eigenartigerweise nicht öffnen (404 - Not found). Wie krieg ich hin, dass es doch gelingt? Hier der Report von Regsearch. Nach dem Durchlauf hat sich einfach ein txt.Fenster geöffnet, mit vielen Zahlenkolonnen, die ich aber aus Platzgründen weggelassen habe (auch als Anhang zu groß). Ich hoffe, ich habe Deine Anweisung richtig befolgt:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 20.04.2008 08:39:09 for strings:
; '{49fcecd7-6121-4ccd-8fc9-ae7a4eecd97a}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp\Parameters]
; Contents of value:
;  'â
Hù 'â
H 'â
H+ 'â
H, 'â
H 'â
H
"{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}"=hex:0f,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,27,e2,0a,48,f9,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
27,e2,0a,48,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,27,e2,0a,48,2b,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,27,e2,0a,48,2c,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,27,e2,0a,48,06,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,27,e2,0a,48

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\Linkage]
; Contents of value:
; \Device\NetbiosSmb
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

; Contents of value:
; \Device\LanmanServer_NetbiosSmb
; \Device\LanmanServer_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\LanmanServer_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\LanmanServer_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\LanmanServer_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\LanmanServer_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\LanmanServer_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\LanmanServer_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\LanmanServer_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanworkstation\Linkage]
; Contents of value:
; \Device\NetbiosSmb
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

; Contents of value:
; \Device\LanmanWorkstation_NetbiosSmb
; \Device\LanmanWorkstation_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\LanmanWorkstation_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\LanmanWorkstation_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\LanmanWorkstation_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\LanmanWorkstation_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\LanmanWorkstation_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\LanmanWorkstation_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\LanmanWorkstation_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBIOS\Linkage]
; Contents of value:
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
Contents of value:
; \Device\NetBIOS_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBIOS_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBIOS_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBIOS_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBIOS_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBIOS_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBIOS_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBIOS_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Linkage]
; Contents of value:
; \Device\Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;

; Contents of value:
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Linkage]
; Contents of value:
; \Device\Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Adapters\NdisWanIp]
; Contents of value:
; Tcpip\Parameters\Interfaces\{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; Tcpip\Parameters\Interfaces\{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; Tcpip\Parameters\Interfaces\{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; Tcpip\Parameters\Interfaces\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Dhcp\Parameters]
; Contents of value:
;  gd
Hù gd
H gd
H+ gd
H, gd
H gd
H
"{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}"=hex:0f,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,67,64,0a,48,f9,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
67,64,0a,48,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,67,64,0a,48,2b,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,67,64,0a,48,2c,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,67,64,0a,48,06,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,67,64,0a,48

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lanmanserver\Linkage]
; Contents of value:
; \Device\NetbiosSmb
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;

; Contents of value:
; \Device\LanmanServer_NetbiosSmb
; \Device\LanmanServer_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\LanmanServer_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\LanmanServer_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\LanmanServer_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\LanmanServer_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\LanmanServer_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\LanmanServer_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\LanmanServer_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lanmanworkstation\Linkage]
; Contents of value:
; \Device\NetbiosSmb
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;

; Contents of value:
; \Device\LanmanWorkstation_NetbiosSmb
; \Device\LanmanWorkstation_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\LanmanWorkstation_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\LanmanWorkstation_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\LanmanWorkstation_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\LanmanWorkstation_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\LanmanWorkstation_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\LanmanWorkstation_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\LanmanWorkstation_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetBIOS\Linkage]
; Contents of value:
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;
\Device\NetBIOS_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBIOS_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBIOS_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBIOS_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBIOS_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBIOS_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBIOS_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBIOS_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetBT\Linkage]
; Contents of value:
; \Device\Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;

; Contents of value:
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetBT\Parameters\Interfaces\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Linkage]
; Contents of value:
; \Device\Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Adapters\NdisWanIp]
; Contents of value:
; Tcpip\Parameters\Interfaces\{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; Tcpip\Parameters\Interfaces\{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; Tcpip\Parameters\Interfaces\{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; Tcpip\Parameters\Interfaces\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters]
; Contents of value:
;  'â
Hù 'â
H 'â
H+ 'â
H, 'â
H 'â
H
"{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}"=hex:0f,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,27,e2,0a,48,f9,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
27,e2,0a,48,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,27,e2,0a,48,2b,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,27,e2,0a,48,2c,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,27,e2,0a,48,06,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,27,e2,0a,48

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Linkage]
; Contents of value:
; \Device\NetbiosSmb
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

; Contents of value:
; \Device\LanmanServer_NetbiosSmb
; \Device\LanmanServer_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\LanmanServer_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\LanmanServer_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\LanmanServer_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\LanmanServer_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\LanmanServer_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\LanmanServer_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\LanmanServer_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\Linkage]
; Contents of value:
; \Device\NetbiosSmb
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

; Contents of value:
; \Device\LanmanWorkstation_NetbiosSmb
; \Device\LanmanWorkstation_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\LanmanWorkstation_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\LanmanWorkstation_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\LanmanWorkstation_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\LanmanWorkstation_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\LanmanWorkstation_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\LanmanWorkstation_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\LanmanWorkstation_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBIOS\Linkage]
; Contents of value:
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

Contents of value:
; \Device\NetBIOS_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBIOS_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBIOS_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBIOS_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBIOS_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBIOS_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBIOS_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBIOS_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Linkage]
; Contents of value:
; \Device\Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

; Contents of value:
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Linkage]
; Contents of value:
; \Device\Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters\NdisWanIp]
; Contents of value:
; Tcpip\Parameters\Interfaces\{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; Tcpip\Parameters\Interfaces\{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; Tcpip\Parameters\Interfaces\{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; Tcpip\Parameters\Interfaces\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}]

; End Of The Log...

Antwort

Themen zu Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?
adobe, analysis, antivir, application, attention, avira, besitzer, bho, canon, content.ie5, ctfmon.exe, einstellungen, explorer, firefox, gesperrt, hijack, hijackthis, hkus\s-1-5-18, infizierte, infizierte dateien, internet, internet explorer, monitor, mozilla, mozilla firefox, neu aufsetzen, object, pdf, registry, security, software, system, temp, unknown file in winsock lsp, userinit.exe, viren, windows xp, windows\temp, zlob



Ähnliche Themen: Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?


  1. GVU-Trojaner, Anleitung zur Entfernung ohne Erfolg, OTL?
    Plagegeister aller Art und deren Bekämpfung - 15.07.2012 (7)
  2. Brauche Anleitung bei Entfernung von HTTPS TIDSERV REQUEST 2
    Plagegeister aller Art und deren Bekämpfung - 06.11.2010 (7)
  3. AV Security Alert - Anleitung befolgt
    Plagegeister aller Art und deren Bekämpfung - 16.07.2010 (26)
  4. Hilfe bei Entfernung von Win32/Zlob.ANS
    Plagegeister aller Art und deren Bekämpfung - 19.10.2008 (0)
  5. iexplore.exe trotz Entfernung nach Swizzor-A-Anleitung
    Plagegeister aller Art und deren Bekämpfung - 06.01.2008 (2)
  6. nach Entfernung von ZLOB noch kleine Symptome
    Log-Analyse und Auswertung - 27.08.2007 (20)
  7. Anleitung zur Entfernung -> New.Net Spyware
    Lob, Kritik und Wünsche - 05.07.2007 (19)
  8. Anleitung: Entfernung von New.Net Spyware
    Anleitungen, FAQs & Links - 05.07.2007 (0)
  9. Unklarheit bei der Anleitung zur Entfernung von Swizzor.A
    Log-Analyse und Auswertung - 07.01.2007 (12)
  10. Anleitung zur Entfernung von Zlob
    Diskussionsforum - 22.12.2006 (16)
  11. Anleitung: Entfernung von Zlob
    Anleitungen, FAQs & Links - 07.07.2006 (0)
  12. Anleitung: Entfernung von Swizzor.A
    Archiv - 17.04.2006 (2)
  13. Trojaner TR/DLdr.ZLob.DR und TR/DLdr.ZLob.DQ und TR/ZLob.FG.2.C eingefangen. Was tun?
    Log-Analyse und Auswertung - 06.01.2006 (1)
  14. Anleitung: Entfernung Smitfraud.c aka Troj/FakeAle-c
    Archiv - 27.07.2005 (0)

Zum Thema Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter? - Hallo liebe Helfer und dankbare Geholfene! Zu Letzterem gehöre leider auch ich. Hab mir vor Tagen zlob eingefangen und möglicherweise noch weitere Malware. Habe die Anleitung-zur-Entfernung-von-Zlob hier befolgt, doch ist - Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?...
Archiv
Du betrachtest: Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.