Hilfe!Trojan.Win32.Pakes.cdw ich habe folgendes problem seit einigen tagen meldet kaspersky 7.0.0.124 einen trojaner an: Trojan.Win32.Pakes.cdw dieser soll auf der datei c:\windows\system32\d3dx9_2.dll liegen das problem ist das kaspersky ihn nicht löschen bzw. in Quarantäne setzen will, da die datei die rechte zum scheiben fehlen. ich habe schon versucht die rechte zu geben aber es funktioniert einfach nicht. bin für jeden tipp dankbar gruß B-Dienst Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:05:37, on 17.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\Dit.exe C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\Programme\3D-Relax\Living Marine Aquarium 2.0 trial\trioService.exe C:\WINDOWS\DitExp.exe C:\Programme\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\PRISMSVR.EXE C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe C:\WINDOWS\system32\oodtray.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\st120g.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file) R3 - URLSearchHook: Coolstreaming_Tool-Bar_v1.0 toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programme\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {47425ADE-F947-4060-8070-D777DA0D222F} - C:\WINDOWS\system32\d3dx9_2.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Coolstreaming_Tool-Bar_v1.0 toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programme\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file) O3 - Toolbar: Coolstreaming_Tool-Bar_v1.0 toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programme\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [LXBSCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBStime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [trioService] "C:\Programme\3D-Relax\Living Marine Aquarium 2.0 trial\trioService.exe " O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe" O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe" O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: SpeedTouch 120g Wireless USB Monitor.lnk = C:\Programme\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\st120g.exe O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file) O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105fd.bay105.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178116534583 O17 - HKLM\System\CCS\Services\Tcpip\..\{7D04C9CB-3DCE-4228-9FD8-A270E0C107BB}: NameServer = 62.109.123.197 213.191.74.19 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: lxbs_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbscoms.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe |
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/de/ Was zum Geier willst Du mit Bearshare? Dieser Mistsoftware ist mit Malware vollgepumpt daß einem schlecht wird. So schnell es geht deinstallieren! Zum Sharen gibts bessere clients wie z.B. eMule oder uTorrent ;) C:\WINDOWS\system32\d3dx9_2.dll Werte diese Datei mal bei Virustotal aus und poste die Ergebnisse. |
hi danke für deine schnelle antwort. ja bearshare nutze ich auch nur noch sehr selten das ergebnis auf virustotal AhnLab-V3 2008.2.16.10 2008.02.15 - AntiVir 7.6.0.67 2008.02.15 TR/Delphi.Downloader.Gen Authentium 4.93.8 2008.02.17 - Avast 4.7.1098.0 2008.02.16 Win32:BHO-KD AVG 7.5.0.516 2008.02.17 - BitDefender 7.2 2008.02.17 Trojan.Spy.Bzub.NGP CAT-QuickHeal None 2008.02.16 - ClamAV 0.92.1 2008.02.17 - DrWeb 4.44.0.09170 2008.02.17 Trojan.DownLoader.45437 eSafe 7.0.15.0 2008.02.17 - eTrust-Vet 31.3.5541 2008.02.15 Win32/Kvol!generic Ewido 4.0 2008.02.17 Downloader.Delf.dzq FileAdvisor 1 2008.02.17 - Fortinet 3.14.0.0 2008.02.17 - F-Prot 4.4.2.54 2008.02.17 W32/BadBHO.C.gen!Eldorado F-Secure 6.70.13260.0 2008.02.17 Trojan.Win32.Pakes.cdw Ikarus T3.1.1.20 2008.02.17 Virus.Win32.BHO.KD Kaspersky 7.0.0.125 2008.02.17 Trojan.Win32.Pakes.cdw McAfee 5231 2008.02.15 - Microsoft 1.3204 2008.02.17 Trojan:Win32/Boaxxe.B NOD32v2 2881 2008.02.17 - Norman 5.80.02 2008.02.15 - Panda 9.0.0.4 2008.02.17 Trj/BHO.AJ Prevx1 V2 2008.02.17 - Rising 20.31.50.00 2008.02.16 - Sophos 4.26.0 2008.02.17 Mal/Behav-187 Sunbelt 2.2.907.0 2008.02.16 - Symantec 10 2008.02.17 - TheHacker 6.2.9.222 2008.02.16 - VBA32 3.12.6.1 2008.02.17 - VirusBuster 4.3.26:9 2008.02.17 - Webwasher-Gateway 6.6.2 2008.02.15 Trojan.Delphi.Downloader.Gen weitere Informationen File size: 84480 bytes MD5: 697770a3cc74b17197b52d82ff39cf4f SHA1: c439f45696051bdd1c94ac38b1f232b49c8d6b20 PEiD: - packers: UPX packers: UPX packers: UPX |
Lösch die Datei mit dem avenger: => http://filepony.de/download-the_avenger/ Geh dort wie beschrieben vor aber kopiere diesen Text hinein: Code: files to delete: |
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\udefhwbv ******************* Script file located at: \??\C:\WINDOWS\idasimja.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Could not open file C:\WINDOWS\system32\d3dx9_2.dll for deletion Deletion of file C:\WINDOWS\system32\d3dx9_2.dll failed! Could not process line: C:\WINDOWS\system32\d3dx9_2.dll Status: 0xc0000022 Completed script processing. ******************* Finished! Terminate. |
Tja...irgendwie konnte der die Datei nicht löschen. :teufel2: Wurde die Datei vllt schon vorher entfernt? ;) Poste mal die datfind logfiles. |
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC32-C235 Verzeichnis von C:\WINDOWS\system32 17.02.2008 18:15 2.206 wpa.dbl 17.02.2008 18:15 26.682 nvapps.xml 17.02.2008 18:14 163.456 oodbs.lor 17.02.2008 15:41 406.328 perfh009.dat 17.02.2008 15:41 63.528 perfc009.dat 17.02.2008 15:41 76.906 perfc007.dat 17.02.2008 15:41 421.618 perfh007.dat 17.02.2008 15:41 934.306 PerfStringBackup.INI 17.02.2008 14:37 8.775 jupdate-1.5.0_09-b03.log 08.02.2008 19:44 130.048 SpoonUninstall.exe 05.02.2008 00:09 18.214.008 MRT.exe 27.01.2008 03:30 260.640 FNTCACHE.DAT 24.01.2008 15:32 5.686 jupdate-1.6.0_03-b05.log 19.01.2008 19:29 59.392 streamhlp.dll 12.12.2007 14:10 387.188 TZLog.log 11.12.2007 10:57 49.152 QuickTime.qts 11.12.2007 10:57 65.536 QuickTimeVR.qtx 08.12.2007 21:05 107.832 PnkBstrB.exe 07.12.2007 15:36 3.080.192 mshtml.dll 07.12.2007 02:06 665.088 wininet.dll 07.12.2007 02:06 1.494.528 shdocvw.dll 07.12.2007 02:06 474.624 shlwapi.dll 07.12.2007 02:06 617.472 urlmon.dll 07.12.2007 02:06 39.424 pngfilt.dll 07.12.2007 02:06 532.480 mstime.dll 07.12.2007 02:06 146.432 msrating.dll 07.12.2007 02:06 449.024 mshtmled.dll 07.12.2007 02:06 55.808 extmgr.dll 07.12.2007 02:06 205.312 dxtrans.dll 07.12.2007 02:06 96.768 inseng.dll 07.12.2007 02:06 251.392 iepeers.dll 07.12.2007 02:06 16.384 jsproxy.dll 07.12.2007 02:06 357.888 dxtmsft.dll 07.12.2007 02:06 1.056.256 danim.dll 07.12.2007 02:06 152.064 cdfview.dll 07.12.2007 02:06 1.023.488 browseui.dll 07.12.2007 00:40 373.760 xpsp3res.dll 04.12.2007 19:40 550.912 oleaut32.dll 01.12.2007 20:53 66.872 PnkBstrA.exe |
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC32-C235 Verzeichnis von C:\DOKUME~1\123\LOKALE~1\Temp 17.02.2008 18:20 4.112 jusched.log 17.02.2008 18:17 39.658 LVCOMSX.LOG 17.02.2008 18:16 113 STS31.tmp 17.02.2008 18:15 1.285 MAR2F.tmp 17.02.2008 18:15 1.342 MAR2E.tmp 17.02.2008 18:15 49.152 ~DF4F13.tmp 17.02.2008 18:15 196.608 ~DF568A.tmp 17.02.2008 18:13 117.650 hpodvd09.log 17.02.2008 17:59 113 STS2F.tmp 17.02.2008 17:58 1.285 MAR2D.tmp 17.02.2008 17:58 1.342 MAR2C.tmp 17.02.2008 17:52 113 STS2D.tmp 17.02.2008 17:52 1.285 MAR2B.tmp 17.02.2008 17:52 1.342 MAR2A.tmp 17.02.2008 17:44 113 STS2B.tmp 17.02.2008 17:43 1.285 MAR29.tmp 17.02.2008 17:43 1.342 MAR28.tmp 17.02.2008 17:37 1.744 wmplog00.sqm 17.02.2008 17:25 65.536 install_3373_MjI0NnwwfDB8fHx8fHw_.exe 17.02.2008 17:25 65.571 install_3373_MjI0NnwwfDB8fHx8fHw_.gif 17.02.2008 17:25 4.736 daivrtcx.dat 17.02.2008 17:25 4 pabxoinm.ini 17.02.2008 17:25 53.283 sch21sp.gif 17.02.2008 15:43 65.626 dd_dotnetfx20install.txt 17.02.2008 15:43 1.602 uxeventlog.txt 17.02.2008 15:43 15.393.086 dd_NET_Framework20_Setup7036.txt 17.02.2008 15:41 5.158 ASPNETSetup_00001.log 17.02.2008 15:38 21.364 dd_depcheck_NETFX20_EXP_35.txt 17.02.2008 15:37 2 dd_dotnetfx20error.txt 17.02.2008 14:51 31 searchurl_en_us.txt 17.02.2008 14:47 113 STS29.tmp 17.02.2008 14:46 1.285 MAR27.tmp 17.02.2008 14:46 1.342 MAR26.tmp 17.02.2008 14:37 365 java_install_reg.log 17.02.2008 14:37 25.844 java_install.log 17.02.2008 14:00 113 STS27.tmp 17.02.2008 13:59 1.285 MAR25.tmp 17.02.2008 13:59 1.342 MAR24.tmp 17.02.2008 12:55 113 STS25.tmp 17.02.2008 12:54 1.285 MAR23.tmp 17.02.2008 12:54 1.342 MAR22.tmp 16.02.2008 15:55 725 dglj1bjw.out 16.02.2008 15:55 49.152 tmp16.asm 16.02.2008 15:55 52.736 tmp16.pdb 16.02.2008 15:55 0 dglj1bjw.err 16.02.2008 15:55 436 dglj1bjw.cmdline 16.02.2008 15:55 0 dglj1bjw.tmp 16.02.2008 15:55 0 tmp16.tmp 16.02.2008 14:03 724 a2vnif_o.out 16.02.2008 14:03 49.152 tmpA.asm 16.02.2008 14:03 52.736 tmpA.pdb 16.02.2008 14:03 0 a2vnif_o.err 16.02.2008 14:03 435 a2vnif_o.cmdline 16.02.2008 14:03 0 a2vnif_o.tmp 16.02.2008 14:03 0 tmpA.tmp 16.02.2008 13:54 113 STS9.tmp 16.02.2008 13:53 1.285 MAR6.tmp 16.02.2008 13:53 1.342 MAR5.tmp 16.02.2008 12:16 725 dtsgbuq4.out 16.02.2008 12:16 49.152 tmp10.asm 16.02.2008 12:16 52.736 tmp10.pdb 16.02.2008 12:16 0 dtsgbuq4.err 16.02.2008 12:16 436 dtsgbuq4.cmdline 16.02.2008 12:16 0 dtsgbuq4.tmp 16.02.2008 12:16 0 tmp10.tmp 16.02.2008 11:57 725 vtb7fgrg.out 16.02.2008 11:57 45.056 tmp9.asm 16.02.2008 11:57 52.736 tmp9.pdb 16.02.2008 11:57 0 vtb7fgrg.err 16.02.2008 11:57 436 vtb7fgrg.cmdline 16.02.2008 11:57 0 vtb7fgrg.tmp 16.02.2008 11:57 0 tmp9.tmp 16.02.2008 11:41 113 STS6.tmp 16.02.2008 11:40 1.285 MAR4.tmp 16.02.2008 11:40 1.342 MAR3.tmp 15.02.2008 23:03 727 nli_5s9-.out 15.02.2008 23:03 45.056 tmp11C.asm 15.02.2008 23:03 52.736 tmp11C.pdb 15.02.2008 23:03 0 nli_5s9-.err 15.02.2008 23:03 438 nli_5s9-.cmdline 15.02.2008 23:03 0 nli_5s9-.tmp 15.02.2008 23:03 0 tmp11C.tmp 15.02.2008 19:07 724 uk_n5tud.out 15.02.2008 19:07 45.056 tmpBE.asm 15.02.2008 19:07 50.688 tmpBE.pdb 15.02.2008 19:07 0 uk_n5tud.err 15.02.2008 19:07 0 uk_n5tud.tmp 15.02.2008 19:07 435 uk_n5tud.cmdline 15.02.2008 19:07 0 tmpBE.tmp 15.02.2008 18:31 727 2whfdksu.out 15.02.2008 18:31 53.248 tmpB7.asm 15.02.2008 18:31 54.784 tmpB7.pdb 15.02.2008 18:31 0 2whfdksu.err 15.02.2008 18:31 438 2whfdksu.cmdline 15.02.2008 18:31 0 2whfdksu.tmp 15.02.2008 18:31 0 tmpB7.tmp 15.02.2008 18:25 46.592 drm_dialogs.dll 15.02.2008 18:23 13.442 dd_netfx20UI4EC0.txt 15.02.2008 18:21 5.144 ASPNETSetup_00000.log 15.02.2008 14:34 88 STS23.tmp 15.02.2008 14:34 1.285 MAR21.tmp 15.02.2008 14:34 1.342 MAR20.tmp 15.02.2008 13:59 113 STS22.tmp 15.02.2008 13:58 1.285 MAR1F.tmp 15.02.2008 13:58 1.342 MAR1E.tmp 15.02.2008 13:02 113 STS20.tmp 15.02.2008 13:02 1.285 MAR1D.tmp 15.02.2008 13:02 1.342 MAR1C.tmp 14.02.2008 23:15 113 STS1E.tmp 14.02.2008 23:14 1.285 MAR1B.tmp 14.02.2008 23:14 1.342 MAR1A.tmp 14.02.2008 15:59 113 STS1C.tmp 14.02.2008 15:59 1.285 MAR19.tmp 14.02.2008 15:59 1.342 MAR18.tmp 13.02.2008 21:57 113 STS1A.tmp 13.02.2008 21:55 1.285 MAR17.tmp 13.02.2008 21:55 1.342 MAR16.tmp 13.02.2008 20:26 113 STS18.tmp 13.02.2008 20:26 1.285 MAR15.tmp 13.02.2008 20:26 1.342 MAR14.tmp 13.02.2008 20:25 244 1F1205F7.TMP 13.02.2008 15:15 113 STS17.tmp 13.02.2008 15:13 1.285 MAR13.tmp 13.02.2008 15:13 1.342 MAR2.tmp 13.02.2008 11:32 113 STS14.tmp 13.02.2008 11:31 1.285 MAR12.tmp 13.02.2008 11:31 1.342 MAR11.tmp 12.02.2008 22:26 88 STS11.tmp 12.02.2008 22:26 1.285 MAR10.tmp 12.02.2008 22:26 1.342 MARF.tmp 12.02.2008 15:29 113 STS10.tmp 12.02.2008 15:29 1.285 MARE.tmp 12.02.2008 15:29 1.342 MARD.tmp 11.02.2008 23:41 0 2mu12.tmp 11.02.2008 23:39 0 kmk11.tmp 11.02.2008 23:26 113 STSE.tmp 11.02.2008 23:15 1.285 MARC.tmp 11.02.2008 23:15 1.342 MARB.tmp 10.02.2008 17:34 1.285 MARA.tmp 10.02.2008 17:34 1.342 MAR9.tmp 10.02.2008 13:08 32.768 swt-awt-win32-3346.dll 10.02.2008 13:08 307.200 swt-win32-3346.dll 10.02.2008 11:47 1.285 MAR8.tmp 10.02.2008 11:47 1.342 MAR7.tmp 24.05.2006 19:10 455.600 _is3A.exe 145 Datei(en) 17.748.021 Bytes |
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC32-C235 Verzeichnis von C:\WINDOWS 17.02.2008 18:17 35.910 setupapi.log 17.02.2008 18:16 1.585.436 WindowsUpdate.log 17.02.2008 18:15 54.156 QTFont.qfn 17.02.2008 18:15 0 0.log 17.02.2008 18:15 159 wiadebug.log 17.02.2008 18:15 50 wiaservc.log 17.02.2008 18:15 2.048 bootstat.dat 17.02.2008 18:13 32.356 SchedLgU.Txt 17.02.2008 15:34 138.423 DirectX.log 17.02.2008 15:30 1.084 KB904706.log 17.02.2008 15:01 116 NeroDigital.ini 13.02.2008 19:03 2.944 iis6.log 13.02.2008 19:03 6.045 comsetup.log 13.02.2008 19:03 3.677 ntdtcsetup.log 13.02.2008 19:03 7.077 tsoc.log 13.02.2008 19:03 1.374 imsins.log 13.02.2008 19:03 1.026 ocmsn.log 13.02.2008 19:03 14.687 KB946026.log 13.02.2008 19:03 8.748 ocgen.log 13.02.2008 19:03 927 msgsocm.log 13.02.2008 19:03 18.547 FaxSetup.log 13.02.2008 19:02 1.374 imsins.BAK 13.02.2008 19:02 18.405 KB944533.log 13.02.2008 19:02 2.429 updspapi.log 13.02.2008 19:02 11.193 KB943055.log 13.02.2008 19:02 0 setuperr.log 13.02.2008 19:02 0 setupact.log 12.02.2008 16:01 399 wmsetup.log 20.01.2008 15:06 789 win.ini 13.01.2008 18:18 1.409 QTFont.for 12.01.2008 16:52 50 cdplayer.ini 08.01.2008 22:22 60.416 ALCFDRTM.VER 25.12.2007 03:46 0 oodcnt.INI 14.12.2007 21:46 253.952 Setup1.exe 14.12.2007 21:46 74.752 temp.001 14.12.2007 21:44 74.752 temp.000 |
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC32-C235 Verzeichnis von C:\WINDOWS\Temp 17.02.2008 18:15 409 WGANotify.settings 17.02.2008 18:15 255 WGAErrLog.txt 2 Datei(en) 664 Bytes 0 Verzeichnis(se), 17.509.027.840 Bytes frei |
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC32-C235 Verzeichnis von C:\WINDOWS\Downloaded Program Files 07.12.2007 15:25 144 QTPlugin.inf 02.05.2007 12:57 65 desktop.ini 23.03.2007 11:17 1.292 erma.inf 8 Datei(en) 596.299 Bytes 0 Verzeichnis(se), 17.509.027.840 Bytes frei |
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC32-C235 Verzeichnis von C:\ 17.02.2008 18:31 0 sys.txt 17.02.2008 18:31 639 down.txt 17.02.2008 18:31 334 tmp.txt 17.02.2008 18:31 6.730 system.txt 17.02.2008 18:31 7.397 systemtemp.txt 17.02.2008 18:30 111.913 system32.txt 17.02.2008 18:14 1.207.959.552 pagefile.sys 17.02.2008 18:14 1.376 avenger.txt 17.02.2008 18:13 159.195 log.html 25.12.2007 20:21 0 logwmemory.bin was war alles das mir datfind gegeben hat |
Scheint so als wäre die Datei nicht mehr vorhanden. :cool: Weiteres Vorgehen: [0] blacklight ausführen und logfile davon posten. [1] Mit dem CCleaner alle unnötigen Dateien löschen lassen. [2] escan anwenden, Instruktionen dort genau beachten und Logfile posten; achte darauf daß du aktuelle Virensignaturen vor dem check einspielst. [3] silentrunners ausführen und logfile posten. |
17 Feb 2008 19:12:13 => ***** Ordner C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart wird gescannt ***** 17 Feb 2008 19:12:13 => [Ordner: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart wird gescannt] 17 Feb 2008 19:12:13 => ***** Dateien bezüglich Dienste werden gescannt ***** 17 Feb 2008 19:12:13 => HKLM\SYSTEM\CurrentControlSet\Services wird gescannt 17 Feb 2008 19:12:21 => ERROR!!! ScanFile Fails... 17 Feb 2008 19:12:22 => HKLM\SYSTEM\CurrentControlSet\Services\VxD wird gescannt 17 Feb 2008 19:12:22 => ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft ***** Objekt "asktbar Toolbar" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "asktbar Toolbar" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "mirar Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "backdoor (ircbot) trojans Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. |
7 Feb 2008 19:15:51 => ***** Ordner bezüglich System32 werden gescannt ***** 17 Feb 2008 19:15:51 => Verzeichnis C:\WINDOWS wird gescannt 17 Feb 2008 19:15:51 => [Ordner: C:\WINDOWS wird gescannt] 17 Feb 2008 19:16:02 => Verzeichnis C:\WINDOWS\system32 wird gescannt 17 Feb 2008 19:16:02 => [Ordner: C:\WINDOWS\system32 wird gescannt] Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "asktbar Toolbar" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "mirar Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "backdoor (ircbot) trojans Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\system32\d3dx9_2.dll infiziert durch den Virus "Trojan.Win32.Pakes.cdw"! Maßnahme ergriffen: Keine Maßnahme ergriffen. |
Naja, die Instuktionen beim escan solltest du aber genau lesen. :kloppen: Beachte mal Punkt 12 in der Anleitung. |
das hilft alles nichts der trojaner ist immer noch drauf:confused::koch: |
C:\WINDOWS\system32\d3dx9_2.dll Also lt. escan ist sie noch da. Wenn der avenger die nicht löschen will solltest du das mal mit killbox probieren => Killbox - Pocket KillBox Kopier den kompletten Pfad zu dieser Datei (also das was ich oben fett geschrieben habe) dann in die Adresszeile von killbox. Mit der Option delete on reboot und auf das rote Schild mit dem weißen X klicken und Rechner neustarten. |
geht auch nicht:heulen: |
Was heißt das genau? |
ich habe gemacht was du gesagt hast( so mit den kompletten Pfad zu dieser Datei und der Option delete on reboot und auf das rote Schild mit dem weißen X klicken und Rechner neustarten) und der trojaner ist nach dem neustart immer noch da bzw. kaspersky meldet ihn immer noch |
Tja. Was ist denn mit den anderen Punkten die du abackern solltest? |
blacklight habe ich gemacht ccleaner habe ich auch gemacht avenger habe ich auch gemacht und Escan sagt genau das gleiche wie kaspersky |
Was ist mit silentrunners? Hast du zufällig ein BartPE bei dir rumliegen oder eine andere Notfall-CD? Damit könnte man einfacher die Datei(en) löschen. |
Silent Runners.vbs", revision 55, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"" ["Nero AG"] "DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."] "AdobeUpdater" = "C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" ["Adobe Systems Incorporated"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."] "HP Software Update" = "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard Co."] "LXBSCATS" = "rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBStime.dll,_RunDLLEntry@16" [MS] "NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" ["Nero AG"] "Dit" = "Dit.exe" [null data] "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "Agent" = "C:\Programme\Medion\PowerCinema\My_TV\Agent.exe" ["CyberLink"] "trioService" = ""C:\Programme\3D-Relax\Living Marine Aquarium 2.0 trial\trioService.exe "" [empty string] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "Lexmark X5100 Series" = ""C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"" ["Lexmark International, Inc."] "PRISMSVR.EXE" = ""C:\Programme\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\PRISMSVR.EXE" /APPLY" ["Conexant Systems, Inc."] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "Kernel and Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech Inc."] "LogitechCommunicationsManager" = ""C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"" ["Logitech Inc."] "LVCOMSX" = ""C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"" ["Logitech Inc."] "OODefragTray" = "C:\WINDOWS\system32\oodtray.exe" ["O&O Software GmbH"] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."] "iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."] "AVP" = ""C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"" ["Kaspersky Lab"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {47425ADE-F947-4060-8070-D777DA0D222F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\d3dx9_2.dll" [null data] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] {bd0e4d83-654e-4213-965b-fcbe887061f4}\(Default) = (no title provided) -> {HKLM...CLSID} = "Coolstreaming_Tool-Bar_v1.0 toolbar" \InProcServer32\(Default) = "C:\Programme\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll" ["Conduit Ltd."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] |
notfall-cds habe ich keine |
TEIL 2 \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS] "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"] "{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension" -> {HKLM...CLSID} = "TuneUp Theme Extension" \InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"] "{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2}" = "NeroCoverEd Live Icons" -> {HKLM...CLSID} = "NeroCoverEdLiveIcons Class" \InProcServer32\(Default) = "C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"] "{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler" -> {HKLM...CLSID} = "NeroDigitalIconHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler" -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler" -> {HKLM...CLSID} = "Microsoft Office Metadata Handler" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS] "{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler" -> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C}" = "Logitech Setpoint Extension" -> {HKLM...CLSID} = "KbLogiExt Class" \InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\kbcplext.dll" ["Logitech Inc."] "{B9B9F083-2B04-452A-8691-83694AC1037B}" = "Logitech Setpoint Extension" -> {HKLM...CLSID} = "LogiExt Class" \InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\mcplext.dll" ["Logitech Inc."] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."] "{EBDF1F20-C829-11D1-8233-FF20AF3E97A9}" = "TrojanHunter Menu Shell Extension" -> {HKLM...CLSID} = "TrojanHunter Menu Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1.7\contmenu.dll" [null data] "{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Statistik für Web-Anti-Virus" -> {HKLM...CLSID} = "Statistik für Web-Anti-Virus" \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll" ["Kaspersky Lab"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ <<!>> "AppInit_DLLs" = "C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll" ["Kaspersky Lab"] HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\ <<!>> "BootExecute" = "autocheck autochk *"|"OODBS" ["O&O Software GmbH"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> klogon\DLLName = "C:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler" -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ Cover Designer\(Default) = "{73FCA462-9BD5-4065-A73F-A8E5F6904EF7}" -> {HKLM...CLSID} = "NeroCoverEdContextMenu Class" \InProcServer32\(Default) = "C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"] Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll" ["Kaspersky Lab"] TrojanHunter\(Default) = "{EBDF1F20-C829-11D1-8233-FF20AF3E97A9}" -> {HKLM...CLSID} = "TrojanHunter Menu Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1.7\contmenu.dll" [null data] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\123\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\GALLEO~1.SCR" [file not found] |
silentrunners log ist unvollständig. Hast du keine Bekannten mit ner BartPE-CD? Wenn nicht müssen wir das weiter mit killbox/avenger probieren oder noch ne andere Möglichkeit: Du bootest von der Windows-CD und gehst in die Wiederherstellungskonsole. Von dort solltest du die als schädlich erkannten Dateien löschen können. :cool: edit: ahh..nu ist der 2. Teil da vom log :) |
muss ich mal morgen rum fragen "Silent Runners.vbs", revision 55, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"" ["Nero AG"] "DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."] "AdobeUpdater" = "C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" ["Adobe Systems Incorporated"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."] "HP Software Update" = "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard Co."] "LXBSCATS" = "rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBStime.dll,_RunDLLEntry@16" [MS] "NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" ["Nero AG"] "Dit" = "Dit.exe" [null data] "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "Agent" = "C:\Programme\Medion\PowerCinema\My_TV\Agent.exe" ["CyberLink"] "trioService" = ""C:\Programme\3D-Relax\Living Marine Aquarium 2.0 trial\trioService.exe "" [empty string] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "Lexmark X5100 Series" = ""C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"" ["Lexmark International, Inc."] "PRISMSVR.EXE" = ""C:\Programme\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\PRISMSVR.EXE" /APPLY" ["Conexant Systems, Inc."] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "Kernel and Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech Inc."] "LogitechCommunicationsManager" = ""C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"" ["Logitech Inc."] "LVCOMSX" = ""C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"" ["Logitech Inc."] "OODefragTray" = "C:\WINDOWS\system32\oodtray.exe" ["O&O Software GmbH"] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."] "iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."] "AVP" = ""C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"" ["Kaspersky Lab"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {47425ADE-F947-4060-8070-D777DA0D222F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\d3dx9_2.dll" [null data] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] {bd0e4d83-654e-4213-965b-fcbe887061f4}\(Default) = (no title provided) -> {HKLM...CLSID} = "Coolstreaming_Tool-Bar_v1.0 toolbar" \InProcServer32\(Default) = "C:\Programme\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll" ["Conduit Ltd."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS] "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"] "{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension" -> {HKLM...CLSID} = "TuneUp Theme Extension" \InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"] "{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2}" = "NeroCoverEd Live Icons" -> {HKLM...CLSID} = "NeroCoverEdLiveIcons Class" \InProcServer32\(Default) = "C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"] "{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler" -> {HKLM...CLSID} = "NeroDigitalIconHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler" -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler" -> {HKLM...CLSID} = "Microsoft Office Metadata Handler" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS] "{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler" -> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C}" = "Logitech Setpoint Extension" -> {HKLM...CLSID} = "KbLogiExt Class" \InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\kbcplext.dll" ["Logitech Inc."] "{B9B9F083-2B04-452A-8691-83694AC1037B}" = "Logitech Setpoint Extension" -> {HKLM...CLSID} = "LogiExt Class" \InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\mcplext.dll" ["Logitech Inc."] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."] "{EBDF1F20-C829-11D1-8233-FF20AF3E97A9}" = "TrojanHunter Menu Shell Extension" -> {HKLM...CLSID} = "TrojanHunter Menu Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1.7\contmenu.dll" [null data] "{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Statistik für Web-Anti-Virus" -> {HKLM...CLSID} = "Statistik für Web-Anti-Virus" \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll" ["Kaspersky Lab"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ <<!>> "AppInit_DLLs" = "C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll" ["Kaspersky Lab"] HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\ <<!>> "BootExecute" = "autocheck autochk *"|"OODBS" ["O&O Software GmbH"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> klogon\DLLName = "C:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler" -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ Cover Designer\(Default) = "{73FCA462-9BD5-4065-A73F-A8E5F6904EF7}" -> {HKLM...CLSID} = "NeroCoverEdContextMenu Class" \InProcServer32\(Default) = "C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"] Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll" ["Kaspersky Lab"] TrojanHunter\(Default) = "{EBDF1F20-C829-11D1-8233-FF20AF3E97A9}" -> {HKLM...CLSID} = "TrojanHunter Menu Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1.7\contmenu.dll" [null data] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\123\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\GALLEO~1.SCR" [file not found] Startup items in "123" & "All Users" startup folders: ----------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "HP Digital Imaging Monitor" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Co."] "Logitech SetPoint" -> shortcut to: "C:\Programme\Logitech\SetPoint\SetPoint.exe" ["Logitech Inc."] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] "SpeedTouch 120g Wireless USB Monitor" -> shortcut to: "C:\Programme\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\st120g.exe" [empty string] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{BD0E4D83-654E-4213-965B-FCBE887061F4}" -> {HKLM...CLSID} = "Coolstreaming_Tool-Bar_v1.0 toolbar" \InProcServer32\(Default) = "C:\Programme\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll" ["Conduit Ltd."] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{BD0E4D83-654E-4213-965B-FCBE887061F4}" = "Coolstreaming Tool-Bar v1.0 Toolbar" -> {HKLM...CLSID} = "Coolstreaming_Tool-Bar_v1.0 toolbar" \InProcServer32\(Default) = "C:\Programme\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll" ["Conduit Ltd."] Explorer Bars HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\ HKLM\SOFTWARE\Classes\CLSID\{72FE8681-0BFA-471B-9B2A-B37ED68DD09E}\(Default) = "Ask PopSwatter" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS] HKLM\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Statistik für Web-Anti-Virus" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll" ["Kaspersky Lab"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."] {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\ "ButtonText" = "Statistik für Web-Anti-Virus" {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\ {F4430FE8-2638-42E5-B849-800749B94EED}\ "ButtonText" = "PartyPoker.net" "MenuText" = "PartyPoker.net" "Exec" = "C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe" [file not found] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{bd0e4d83-654e-4213-965b-fcbe887061f4}" = (no title provided) -> {HKLM...CLSID} = "Coolstreaming_Tool-Bar_v1.0 toolbar" \InProcServer32\(Default) = "C:\Programme\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll" ["Conduit Ltd."] HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\ <<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."] CyberLink Background Capture Service (CBCS), CLCapSvc, ""C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe"" [empty string] CyberLink Media Library Service, CyberLink Media Library Service, ""C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe"" ["Cyberlink"] CyberLink Task Scheduler (CTS), CLSched, ""C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe"" [empty string] iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."] Kaspersky Internet Security 7.0, AVP, ""C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r" ["Kaspersky Lab"] LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."] Messenger USN Journal Reader-Service für freigegebene Ordner, usnjsvc, ""C:\Programme\MSN Messenger\usnsvc.exe"" [MS] NMIndexingService, NMIndexingService, ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe"" ["Nero AG"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] O&O Defrag, O&O Defrag, "C:\WINDOWS\system32\oodag.exe" ["O&O Software GmbH"] PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data] TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]} Print Monitors: --------------- HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ 810 Series Port\Driver = "lxbslmpm.DLL" ["Lexmark International, Inc."] HP Standard TCP/IP Port\Driver = "HpTcpMon.dll" ["Hewlett Packard"] hpzsnt12\Driver = "hpzsnt12.dll" ["HP"] Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."] ---------- (launch time: 2008-02-17 22:30:24) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 197 seconds. ---------- (total run time: 329 seconds) |
Also ich weiß ja nicht was an dieser Datei so besonders ist daß sie sich nicht löschen lassen will :mad: überprüf daher mal die NTFS-Sicherheitseinstellungen ob du überhaupt Zugriffsrechte darauf hast. Du solltest Vollzugriff als Administrator darauf haben. Probier sie dann mal zu löschen. Fruchtet das auch nicht, probier es im abgesicherten Modus nochmal. Außer C:\WINDOWS\system32\d3dx9_2.dll ist mir da keine andere Datei mehr aufgefallen. Aber halt :eek: was ist das für ne Toolbar: C:\Programme\Coolstreaming_Tool-Bar_v1.0\ Knall die weg ich glaub kaum daß Du die wirklich brauchst. |
NTFS-Sicherheitseinstellungen? wie kann ich die ein sehen |
Zitat:
Haken raus bei geschützte Systemdateien nicht anzeigen (oder so ähnlich ;) ) Haken (Punkt) setzen bei alle Dateien anzeigen So wie hier => http://www.trojaner-board.de/59624-a...-sichtbar.html Dann gehst Du über den Arbeitsplatz nach c:\windows\system32 und suchst dort nach dieser ominösen Datei - die mit rechtsanklicken => Eigenschaften => Sicherheitseinstellungen. Schau dort nach ob Du schon als User eingetragen bist, wenn nicht trag dich ein. Dann klickst du für dein Konto den Haken bei Vollzugriff an und übernimmst die Einstellungen. Solltest Du schon Vollzugriff haben, startest Du Windows in den abgesicherten Modus und probierst darüber die Datei zu löschen. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 01:34 Uhr. |
Copyright ©2000-2024, Trojaner-Board