Hallo zusammen,

mein nachbar hat sich o.g. virus eingefangen und kriegt ihn nicht mehr weg. ich würde euch bitten mir eine kurze sachliche anleitung zu geben, welche schritte zu tun sind, um den virus erfolgreich zu entfernen.

danke für eure mühe

gruss

rkoks

@rkoks

lade spybot
programm updaten, scannen lassen und alles löschen was vorgeschlagen wird.

chaosman

hi,

haben spybot installiert u. razespyware identifiziert. leider konnte der virus nicht entfern werden. gibt es eine alternative?

spybot hat den virus in folg. regstry eintrag gefunden.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SECUREDISK

die frage ist, ob man diesen quatsch einfach löschen kann/ darf ohne etwas anderes kaputt zumachen?

So ohne weiter Infos [1] wird man bzw. werde ich nur sehr wenig zur Entfernung sagen können.

[1]
Ein guter Anfang:

• HijackThis-Logfile
• Silent-Runners-Logfile
• datFind.bat

Logfile of HijackThis v1.99.1
Scan saved at 19:23:15, on 14.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\QSound\QSound Virtual Engine\qvecplsk.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\DOKUME~1\***\LOKALE~1\Temp\22.tmp.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\HiJackThis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {64A6BEFF-15F2-8F55-C53D-6C41009ED9DA} - (no file)
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QveCtl2Tray] C:\Programme\QSound\QSound Virtual Engine\qvecplsk.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [addmv.exe] C:\WINDOWS\addmv.exe
O4 - HKLM\..\Run: [23.tmp] C:\DOKUME~1\***\LOKALE~1\Temp\23.tmp.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [22.tmp.exe] C:\DOKUME~1\***\LOKALE~1\Temp\22.tmp.exe
O4 - HKLM\..\Run: [23.tmp.exe] C:\DOKUME~1\***\LOKALE~1\Temp\23.tmp.exe
O4 - HKLM\..\Run: [msdb32.exe] C:\WINDOWS\system32\msdb32.exe
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [22.tmp] C:\DOKUME~1\***\LOKALE~1\Temp\22.tmp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125763750296
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Sonic RecordNow!" = (empty string)
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"Spyware Doctor" = ""C:\Programme\Spyware Doctor\swdoctor.exe" /Q" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CeEKEY" = "C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" ["COMPAL ELECTRONIC INC."]
"ZoomingHook" = "c:\WINDOWS\System32\ZoomingHook.exe" ["TOSHIBA"]
"NDSTray.exe" = "NDSTray.exe" ["TOSHIBA CORPORATION"]
"dla" = "C:\WINDOWS\system32\dla\tfswctrl.exe" ["Sonic Solutions"]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"(Default)" = (empty string)
"Corel Reminder" = (empty string)
"QveCtl2Tray" = "C:\Programme\QSound\QSound Virtual Engine\qvecplsk.exe" ["QSound Labs, Inc."]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"addmv.exe" = "C:\WINDOWS\addmv.exe" [file not found]
"23.tmp" = "C:\DOKUME~1\***\LOKALE~1\Temp\23.tmp.exe" [file not found]
"WinHound" = "C:\Programme\WinHound\WinHound.exe" [file not found]
"22.tmp.exe" = "C:\DOKUME~1\***\LOKALE~1\Temp\22.tmp.exe" [null data]
"23.tmp.exe" = "C:\DOKUME~1\***\LOKALE~1\Temp\23.tmp.exe" [file not found]
"msdb32.exe" = "C:\WINDOWS\system32\msdb32.exe" [file not found]
"stnospy" = "C:\Programme\SinEspias\no-spy.exe /autorun" [file not found]
"CeEPOWER" = "C:\Programme\TOSHIBA\Power Management\CePMTray.exe" ["COMPAL ELECTRONIC INC."]
"22.tmp" = "C:\DOKUME~1\***\LOKALE~1\Temp\22.tmp.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{5CA3D70E-1895-11CF-8E15-001234567890}\(Default) = "*b" (unwritable string)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{8FF43EAA-2BB1-4A53-8E18-D9221E56E593}" = "CePMTab Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\CePMTab.dll" ["COMPAL ELECTRONIC INC."]
"{9ED66769-A198-41FE-8615-601691C68846}" = "TouchPad Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\TPprop.dll" ["COMPAL ELECTRONIC INC."]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Sonic\RecordNow!\shlext.dll" [null data]
"{5CA3D70E-1895-11CF-8E15-001234567890}" = "DriveLetterAccess"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Unbind"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\1031\UNBIND.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}" = "CorelDRAW Shell-Erweiterungskomponente"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Corel\Graphics10\Draw\CdrViewer\CrlShell100.dll" [null data]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "***" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"RAMASST" -> shortcut to: "C:\WINDOWS\system32\RAMASST.exe" ["Matsushita Electric Industrial Co., Ltd."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B}\
"ButtonText" = "eBay"
"Exec" = "C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe" [null data]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{B205A35E-1FC4-4CE3-818B-899DBBB3388C}\


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
CeEPwrSvc, CeEPwrSvc, "C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe" ["COMPAL ELECTRONIC INC."]
ConfigFree Service, CFSvcs, "C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe" ["TOSHIBA CORPORATION"]
DVD-RAM_Service, DVD-RAM_Service, "C:\WINDOWS\system32\DVDRAMSV.exe" ["Matsushita Electric Industrial Co., Ltd."]
iPodService, iPodService, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 42 seconds, including 18 seconds for message boxes)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC99-2E21

Verzeichnis von C:\WINDOWS\system32

14.01.2006 18:46 380.684 perfh009.dat
14.01.2006 18:46 53.098 perfc009.dat
14.01.2006 18:46 391.922 perfh007.dat
14.01.2006 18:46 64.096 perfc007.dat
14.01.2006 18:46 898.258 PerfStringBackup.INI
08.01.2006 20:50 1.158 wpa.dbl
05.01.2006 04:41 2.836.320 MRT.exe
29.12.2005 03:54 280.064 gdi32.dll
27.12.2005 08:25 197.761 kcdap.txt
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
15.11.2005 12:12 117.976 hashlib.dll
15.11.2005 12:12 126.680 GCCollection.dll
15.11.2005 12:12 95.448 gcUnCompress.dll
10.11.2005 10:58 228.000 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
04.11.2005 16:27 534.280 LegitCheckControl.DLL
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 18.432 oleext.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 55.808 extmgr.dll
20.10.2005 23:25 1.094.144 esent.dll
17.10.2005 22:20 80.896 fontsub.dll
17.10.2005 22:20 118.272 t2embed.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:08 1.839.616 win32k.sys

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC99-2E21

Verzeichnis von C:\DOKUME~1\Micha\LOKALE~1\Temp

13.01.2006 23:40 28.854 Veggies.atr.bmp
13.01.2006 23:40 28.854 Strawberry.atr.bmp
13.01.2006 23:40 28.854 Reflections.atr.bmp
13.01.2006 23:40 28.854 Florabunda.atr.bmp
13.01.2006 23:40 28.854 Bubbles.atr.bmp
13.01.2006 23:40 28.854 Abstract1.atr.bmp
07.01.2006 17:46 10.538 control.xml
29.12.2005 12:47 20.087 22.tmp.exe
09.03.2005 22:53 249.856 _is17.tmp
09.03.2005 22:53 249.856 _is8.tmp
29.05.2001 17:02 184.320 patchw32.dll
29.05.2001 17:02 34.816 patch.exe
12 Datei(en) 922.597 Bytes
0 Verzeichnis(se), 6.499.733.504 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC99-2E21

Verzeichnis von C:\WINDOWS

14.01.2006 18:41 1.620.610 WindowsUpdate.log
14.01.2006 18:41 159 wiadebug.log
14.01.2006 18:41 50 wiaservc.log
14.01.2006 18:41 0 0.log
14.01.2006 18:41 2.048 bootstat.dat
14.01.2006 18:39 32.600 SchedLgU.Txt
14.01.2006 11:27 54.156 QTFont.qfn
13.01.2006 11:24 0 CePMTray.INI
11.01.2006 21:03 1.409 QTFont.for
10.01.2006 20:55 43.921 iis6.log
10.01.2006 20:55 102.145 comsetup.log
10.01.2006 20:55 1.374 imsins.log
10.01.2006 20:55 60.637 ntdtcsetup.log
10.01.2006 20:55 113.706 tsoc.log
10.01.2006 20:55 15.503 ocmsn.log
10.01.2006 20:55 9.956 KB908519.log
10.01.2006 20:55 13.937 msgsocm.log
10.01.2006 20:55 142.783 ocgen.log
10.01.2006 20:55 272.483 FaxSetup.log
10.01.2006 20:55 742.840 setupapi.log
07.01.2006 17:46 25.256 wmsetup.log
07.01.2006 15:25 124.484 cdplayer.ini
06.01.2006 18:29 18.032 KB912919.log
06.01.2006 17:56 1.355 imsins.BAK
06.01.2006 17:56 21.176 updspapi.log
30.12.2005 17:36 1.317.876 ntbtlog.txt
30.12.2005 12:32 25.441 stub89.ini
30.12.2005 12:30 25.543 stub88.ini
30.12.2005 12:24 25.695 stub87.ini
30.12.2005 11:31 25.438 stub86.ini
30.12.2005 11:30 25.197 stub85.ini
30.12.2005 07:53 25.684 stub84.ini
30.12.2005 07:53 26.118 stub83.ini
30.12.2005 06:14 25.882 stub82.ini
30.12.2005 06:14 26.444 stub81.ini
30.12.2005 05:31 25.840 stub80.ini
30.12.2005 05:30 25.314 stub79.ini
30.12.2005 05:21 25.812 stub78.ini
30.12.2005 05:07 25.329 stub77.ini
29.12.2005 14:13 26.317 KB905915.log
29.12.2005 13:50 26.785 stub76.ini
29.12.2005 13:49 26.386 stub75.ini
29.12.2005 13:48 26.446 stub74.ini
29.12.2005 13:48 26.417 stub73.ini
29.12.2005 13:46 26.300 stub72.ini
29.12.2005 12:47 1.430 warnhp.html
29.12.2005 12:45 26.413 stub71.ini
29.12.2005 12:45 25.626 stub70.ini
29.12.2005 12:44 25.949 stub69.ini
29.12.2005 12:42 25.914 stub68.ini
29.12.2005 12:40 26.241 stub67.ini
29.12.2005 12:38 26.472 stub66.ini
29.12.2005 12:36 26.174 stub65.ini
29.12.2005 12:36 24.912 stub64.ini
29.12.2005 12:34 25.074 stub63.ini
29.12.2005 12:34 25.293 stub62.ini
29.12.2005 12:34 25.066 stub61.ini
29.12.2005 12:33 25.594 stub60.ini
29.12.2005 12:33 25.271 stub59.ini
29.12.2005 12:27 26.307 stub58.ini
29.12.2005 12:27 25.008 stub57.ini
29.12.2005 12:22 25.158 stub56.ini
29.12.2005 12:22 25.293 stub55.ini
29.12.2005 12:21 25.311 stub54.ini
29.12.2005 12:21 25.635 stub53.ini
29.12.2005 12:21 25.546 stub52.ini
29.12.2005 12:20 25.592 stub51.ini
29.12.2005 12:17 24.667 stub50.ini
29.12.2005 12:12 24.795 stub49.ini
29.12.2005 12:09 24.864 stub48.ini
29.12.2005 12:07 24.921 stub47.ini
29.12.2005 11:50 25.352 stub46.ini
29.12.2005 11:49 24.766 stub45.ini
29.12.2005 11:49 24.710 stub44.ini
29.12.2005 11:48 25.043 stub43.ini
29.12.2005 11:36 24.914 stub42.ini
29.12.2005 11:35 25.035 stub41.ini
29.12.2005 11:34 24.703 stub40.ini
29.12.2005 11:27 24.711 stub38.ini
29.12.2005 11:27 24.442 stub37.ini
29.12.2005 10:14 24.735 stub36.ini
29.12.2005 08:00 24.912 stub34.ini
29.12.2005 08:00 24.391 stub33.ini
29.12.2005 07:59 24.500 stub32.ini
29.12.2005 07:59 24.410 stub31.ini
29.12.2005 07:59 24.809 stub30.ini
29.12.2005 07:58 24.364 stub29.ini
29.12.2005 07:58 24.101 stub28.ini
29.12.2005 07:58 24.565 stub27.ini
29.12.2005 07:57 23.818 stub26.ini
29.12.2005 07:57 23.904 stub25.ini
29.12.2005 07:57 23.580 stub24.ini
29.12.2005 07:56 24.085 stub23.ini
29.12.2005 07:56 23.060 stub22.ini
29.12.2005 07:56 23.219 stub21.ini
29.12.2005 07:55 23.685 stub20.ini
29.12.2005 07:55 22.835 stub19.ini
29.12.2005 07:54 22.118 stub18.ini
29.12.2005 07:54 23.395 stub17.ini
29.12.2005 07:53 23.622 stub16.ini
29.12.2005 07:53 23.264 stub15.ini
29.12.2005 07:53 23.847 stub14.ini
29.12.2005 07:42 23.745 stub13.ini
29.12.2005 07:38 23.567 stub12.ini
29.12.2005 07:38 23.501 stub11.ini
29.12.2005 07:25 23.416 stub10.ini
29.12.2005 07:24 23.496 stub9.ini
29.12.2005 03:53 23.318 stub8.ini
29.12.2005 03:52 23.344 stub7.ini
29.12.2005 03:52 23.619 stub6.ini
29.12.2005 03:52 23.500 stub5.ini
29.12.2005 03:52 23.246 stub4.ini
29.12.2005 03:51 23.166 stub3.ini
29.12.2005 03:51 22.711 stub2.ini
29.12.2005 03:50 22.854 stub1.ini
28.12.2005 20:02 852 win.ini
28.12.2005 05:46 3.567 gxrdi.log
28.12.2005 05:46 276 game.ini
27.12.2005 01:01 1.199 logs1.ini
23.12.2005 16:13 211.991 setupact.log
23.12.2005 14:52 24.420 stub39.ini
23.12.2005 14:52 24.305 stub35.ini
16.12.2005 15:28 9.375 KB910437.log
15.12.2005 23:47 707 _default.pif
15.12.2005 04:14 134 Keys.386
15.12.2005 04:14 26.680 F„cher.bmp
15.12.2005 04:14 36 vb.ini
12.12.2005 01:47 197.761 cdvfs.dat
11.12.2005 14:59 24.125 KB896422.log
11.12.2005 14:16 48.680 winnt256.bmp
07.12.2005 18:45 121 GEARInstall.log
04.12.2005 02:10 0 logs2.ini
03.12.2005 18:34 8.352 ModemLog_TOSHIBA Software Modem.txt
02.12.2005 03:16 18.327 KB901214.log
02.12.2005 03:16 24.138 KB899591.log
24.11.2005 21:13 69 NeroDigital.ini
20.11.2005 19:08 67 StationRipper.INI
09.11.2005 22:38 11.805 KB896424.log
24.10.2005 20:16 518 QIII.INI
20.10.2005 09:05 23.601 KB901017.log
20.10.2005 09:05 25.834 KB902400.log
20.10.2005 09:04 16.365 KB896688.log
20.10.2005 09:04 14.117 KB905414.log
20.10.2005 09:04 13.869 KB900725.log
20.10.2005 09:04 11.245 KB904706.log
20.10.2005 09:04 11.890 KB905749.log
19.10.2005 05:49 400 ODBC.INI

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC99-2E21

Verzeichnis von C:\

14.01.2006 19:50 0 sys.txt
14.01.2006 19:49 13.137 system.txt
14.01.2006 19:49 860 systemtemp.txt
14.01.2006 19:49 93.924 system32.txt
14.01.2006 18:41 535.351.296 hiberfil.sys
14.01.2006 18:41 805.306.368 pagefile.sys
14.01.2006 02:45 40 Auth.prof
12.07.2005 16:10 0 MSDOS.SYS
12.07.2005 16:10 0 IO.SYS
20.02.2005 00:33 211 boot.ini
23.08.2004 07:53 285 SWSTAMP.TXT
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 251.184 ntldr
04.08.2004 13:00 47.564 NTDETECT.COM
24.05.2001 12:59 162.304 UNWISE.EXE
15 Datei(en) 1.341.232.125 Bytes
0 Verzeichnis(se), 6.499.733.504 Bytes frei

Lade dir ClearProg herunter.

Lade und aktualisiere eine Testversion von ewido. Noch nicht scannen.

Lade Fixwareout.exe herunter (Anwendung erfolgt auf eigene Gefahr!)-> Doppelklick auf Fixwareout.exe-> Next-> Install-> Der Haken bei "Run Fixit" muss gesetzt sein-> Finish-> Nachfrage nach einem Neustart mit "OK" beantworten-> Das System sollte neu starten
Nach dem Neustart (der etwas länger als sonst dauern kann) solltest du den Anweisungen auf dem Bildschirm folgen (du musst eigentlich nur auf OK klicken )
Irgendwann sollte sich HijackThis öffnen (falls nicht, öffne es bitte ganz normal und wähle "Do a system scan only" aus). Fixe dann folgendes:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {64A6BEFF-15F2-8F55-C53D-6C41009ED9DA} - (no
O4 - HKLM\..\Run: [addmv.exe] C:\WINDOWS\addmv.exe
O4 - HKLM\..\Run: [23.tmp] C:\DOKUME~1\***\LOKALE~1\Temp\23.tmp.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [22.tmp.exe] C:\DOKUME~1\***\LOKALE~1\Temp\22.tmp.exe
O4 - HKLM\..\Run: [23.tmp.exe] C:\DOKUME~1\***\LOKALE~1\Temp\23.tmp.exe
O4 - HKLM\..\Run: [msdb32.exe] C:\WINDOWS\system32\msdb32.exe
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [22.tmp] C:\DOKUME~1\***\LOKALE~1\Temp\22.tmp.exe

Speichere zunächst kein neues Logfile!
Original-Quelle: http://forums.spywareinfo.com/index....305&hl=wareout

Starte den PC im abgesicherten Modus:

Lösche die Temp-Files von Windows und vom Internet Explorer mit ClearProg.
Lösche diese Dateien/Ordner, z.B. mit Killbox

Zitat:

Zitat von Cidre

Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\SinEspias
C:\Programme\WinHound
C:\Windows\System32\oleext.dll
C:\WINDOWS\stub88.ini
C:\WINDOWS\stub87.ini
C:\WINDOWS\stub86.ini
C:\WINDOWS\stub85.ini
C:\WINDOWS\stub84.ini
C:\WINDOWS\stub83.ini
C:\WINDOWS\stub82.ini
C:\WINDOWS\stub81.ini
C:\WINDOWS\stub80.ini
C:\WINDOWS\stub79.ini
C:\WINDOWS\stub78.ini
C:\WINDOWS\stub77.ini
C:\WINDOWS\stub76.ini
C:\WINDOWS\stub75.ini
C:\WINDOWS\stub74.ini
C:\WINDOWS\stub73.ini
C:\WINDOWS\stub72.ini
C:\WINDOWS\warnhp.html
C:\WINDOWS\stub71.ini
C:\WINDOWSstub70.ini
C:\WINDOWS\stub69.ini
C:\WINDOWS\stub68.ini
C:\WINDOWS\stub67.ini
C:\WINDOWS\stub66.ini
C:\WINDOWS\stub65.ini
C:\WINDOWS\stub64.ini
C:\WINDOWS\stub63.ini
C:\WINDOWS\stub62.ini
C:\WINDOWS\stub61.ini
C:\WINDOWS\stub60.ini
C:\WINDOWS\stub59.ini
C:\WINDOWS\stub58.ini
C:\WINDOWS\stub57.ini
C:\WINDOWS\stub56.ini
C:\WINDOWS\stub55.ini
C:\WINDOWS\stub54.ini
C:\WINDOWS\stub53.ini
C:\WINDOWS\stub52.ini
C:\WINDOWS\stub51.ini
C:\WINDOWS\stub50.ini
C:\WINDOWS\stub49.ini
C:\WINDOWS\stub48.ini
C:\WINDOWS\stub47.ini
C:\WINDOWS\stub46.ini
C:\WINDOWS\stub45.ini
C:\WINDOWS\stub44.ini
C:\WINDOWS\stub43.ini
C:\WINDOWS\stub42.ini
C:\WINDOWS\stub41.ini
C:\WINDOWS\stub40.ini
C:\WINDOWS\stub38.ini
C:\WINDOWS\stub37.ini
C:\WINDOWS\stub36.ini
C:\WINDOWS\stub34.ini
C:\WINDOWS\stub33.ini
C:\WINDOWS\stub32.ini
C:\WINDOWS\stub31.ini
C:\WINDOWS\stub30.ini
C:\WINDOWS\stub29.ini
C:\WINDOWS\stub28.ini
C:\WINDOWS\stub27.ini
C:\WINDOWS\stub26.ini
C:\WINDOWS\stub25.ini
C:\WINDOWS\stub24.ini
C:\WINDOWS\stub23.ini
C:\WINDOWS\stub22.ini
C:\WINDOWS\stub21.ini
C:\WINDOWS\stub20.ini
C:\WINDOWS\stub19.ini
C:\WINDOWS\stub18.ini
C:\WINDOWS\stub17.ini
C:\WINDOWS\stub16.ini
C:\WINDOWS\stub15.ini
C:\WINDOWS\stub14.ini
C:\WINDOWS\stub13.ini
C:\WINDOWS\stub12.ini
C:\WINDOWS\stub11.ini
C:\WINDOWS\stub10.ini
C:\WINDOWS\stub9.ini
C:\WINDOWS\stub8.ini
C:\WINDOWS\stub7.ini
C:\WINDOWS\stub6.ini
C:\WINDOWS\stub5.ini
C:\WINDOWS\stub4.ini
C:\WINDOWS\stub3.ini
C:\WINDOWS\stub2.ini
C:\WINDOWS\stub1.ini
C:\WINDOWS\stub39.ini
C:\WINDOWS\stub35.ini
C:\WINDOWS\logs2.ini
         

Scanne mit ewido, lass das, was er findet löschen und speichere den Report.

Neustart:
Überprüfe online auf http://virusscan.jotti.org/de und poste das Ergebnis.
C:\Auth.prof
C:\WINDOWS\cdvfs.dat
C:\WINDOWS\game.ini
C:\Windows\System32\wininet.dll

Erstelle & poste ein neues HijackThis-Log sowie die ewido-Ergbnisse. Ebenso ein neues Silent Runners-Log.

Zeitsparender wäre aber zweifelsfrei ein komplettes Neuaufsetzen...

Hi Haui45,

zunächst einmal vielen Dank für Deine Dienste und direkten Antworten bislang.
der scan auf http://virusscan.jotti.org/de war OK, d.h. dort wurden kein Viren gefunden.
Anbei der Report aus Ewido. Die restlichen folgen separat.

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 02:30:04, 18.01.2006
+ Report-Checksumme: 1DCE1064

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{C42CF26E-2B02-05DE-7D7B-A16C5C2095BB} -> Spyware.CoolWebSearch : Gesäubert mit Backup
C:\!KillBox\oleext.dll -> Trojan.Small.ev : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@ad.adition[1].txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@adopt.euroclick[1].txt -> Spyware.Cookie.Euroclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@adtech[2].txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@com[2].txt -> Spyware.Cookie.Com : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wjk4cocjggp.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@microsofteup.112.2o7[1].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@overture[2].txt -> Spyware.Cookie.Overture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@php.sales.tfag[2].txt -> Spyware.Cookie.Tfag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@ppms.popularix[1].txt -> Spyware.Cookie.Popularix : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@2o7[2].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wfk4oodjmao.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wfkounczegq.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wfkyqhcpckp.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wfliandpokq.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wfliemcpsep.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wfmyskaziep.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wgk4apdpgbp.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wgk4ukczadp.stats.esomniture[1].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wgk4wmdjado.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wgkyaiajagq.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wgkycmcpekp.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wgkyknazmao.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wjk4uicpwfp.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wjk4undpkkp.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wjkywlajehp.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wjl4uncjiho.stats.esomniture[1].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wjl4und5gap.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wjlocmcjwdo.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wjloqjdzcco.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wjlycnc5gco.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wjlyujd5glo.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@e-2dj6wjmykldjglq.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\***\Cookies\***@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\A0045668.DLL.VIR -> Adware.Spyaxe : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\A0045669.DLL.VIR -> Adware.Spyaxe : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\ADDKT.EXE.VIR -> Downloader.Agent.td : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\APIHL.EXE.VIR -> Trojan.Agent.bi : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\atljp32.VIR -> Downloader.Agent.td : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\ATLOT.EXE.VIR -> Trojan.Agent.bi : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\ATLSA.EXE.VIR -> Trojan.Agent.bi : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\CRFG32.EXE.VIR -> Trojan.Agent.bi : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\CRID.EXE.VIR -> Trojan.Agent.bi : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\CRVX32.EXE.VIR -> Trojan.Agent.bi : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\IEFD32.EXE.VIR -> Trojan.Agent.bi : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\IPJC32.EXE.VIR -> Trojan.Agent.bi : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\IPOJ32.EXE.VIR -> Trojan.Agent.bi : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\MFCIT32.DLL.VIR -> Downloader.Agent.bc : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\MSJP.EXE.VIR -> Trojan.Agent.bi : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\NETHB32.EXE.VIR -> Trojan.Agent.bi : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\SDKHE32.EXE.VIR -> Downloader.Agent.td : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\SDKRF32.EXE.VIR -> Trojan.Agent.bi : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\SYSFX32.EXE.VIR -> Downloader.Agent.td : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\SYSKF32.EXE.VIR -> Trojan.Agent.bi : Gesäubert mit Backup
C:\WINDOWS\KB896422.log:bzntz -> Downloader.Agent.bc : Gesäubert mit Backup
C:\WINDOWS\vb.ini:woghf -> Downloader.Agent.td : Gesäubert mit Backup
C:\WINDOWS\winnt256.bmp:sjkgu -> Downloader.Agent.td : Gesäubert mit Backup


::Report Ende

Gruss
rkoks

Hallo Leute, bin seit 10 minuten neues Mitglied und habe eine frage.
(sorry dass ich jetzt hier reinschreibe aber ich habe noch nicht herausgefunden wie man neue Themen verfasst). Also ich habe ein Programm (wohl eher spyware) called surfaccuracy (lässt sich nicht entfernen).
My question: Wie kann man dieses Programm (od. spyware) entfernen bzw. was genau richtet es auf meinem Computer an oder kann es schon angerichtet haben?
Wäre euch super dankbar wenn ihr mir antworten könntet.
The infected one

Hia Haui45,

highjack log file

Logfile of HijackThis v1.99.1
Scan saved at 19:27:17, on 18.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\QSound\QSound Virtual Engine\qvecplsk.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HiJackThis\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QveCtl2Tray] C:\Programme\QSound\QSound Virtual Engine\qvecplsk.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125763750296
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

Gruss
rkoks

Hi Haui45,

hier das logfile von Silent-Runners

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Sonic RecordNow!" = (value not set)
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"Spyware Doctor" = ""C:\Programme\Spyware Doctor\swdoctor.exe" /Q" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CeEKEY" = "C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" ["COMPAL ELECTRONIC INC."]
"ZoomingHook" = "c:\WINDOWS\System32\ZoomingHook.exe" ["TOSHIBA"]
"NDSTray.exe" = "NDSTray.exe" ["TOSHIBA CORPORATION"]
"dla" = "C:\WINDOWS\system32\dla\tfswctrl.exe" ["Sonic Solutions"]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"(Default)" = (empty string)
"Corel Reminder" = (empty string)
"QveCtl2Tray" = "C:\Programme\QSound\QSound Virtual Engine\qvecplsk.exe" ["QSound Labs, Inc."]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"CeEPOWER" = "C:\Programme\TOSHIBA\Power Management\CePMTray.exe" ["COMPAL ELECTRONIC INC."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{5CA3D70E-1895-11CF-8E15-001234567890}\(Default) = "DriveLetterAccess" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{8FF43EAA-2BB1-4A53-8E18-D9221E56E593}" = "CePMTab Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\CePMTab.dll" ["COMPAL ELECTRONIC INC."]
"{9ED66769-A198-41FE-8615-601691C68846}" = "TouchPad Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\TPprop.dll" ["COMPAL ELECTRONIC INC."]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Sonic\RecordNow!\shlext.dll" [null data]
"{5CA3D70E-1895-11CF-8E15-001234567890}" = "DriveLetterAccess"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Unbind"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\1031\UNBIND.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}" = "CorelDRAW Shell-Erweiterungskomponente"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Corel\Graphics10\Draw\CdrViewer\CrlShell100.dll" [null data]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = (value not set)

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Micha" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"RAMASST" -> shortcut to: "C:\WINDOWS\system32\RAMASST.exe" ["Matsushita Electric Industrial Co., Ltd."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B}\
"ButtonText" = "eBay"
"Exec" = "C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe" [null data]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{B205A35E-1FC4-4CE3-818B-899DBBB3388C}\


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
CeEPwrSvc, CeEPwrSvc, "C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe" ["COMPAL ELECTRONIC INC."]
ConfigFree Service, CFSvcs, "C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe" ["TOSHIBA CORPORATION"]
DVD-RAM_Service, DVD-RAM_Service, "C:\WINDOWS\system32\DVDRAMSV.exe" ["Matsushita Electric Industrial Co., Ltd."]
ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programme\ewido anti-malware\ewidoguard.exe" ["ewido networks"]
iPodService, iPodService, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 32 seconds, including 18 seconds for message boxes)

gruss
rkoks

Das schaut schon besser aus. Lade About Buster herunter, entpacke die Dateien, starte das Programm und führe ein Update durch. Scanne dein System dann mit About Buster und poste das Logfile.

Lösche nochmals alle Temp-Files mit ClearProg.

Hi Haui45,

habe About Buster 2 mal laufen lassen. Anbei beide files und nuch einmal ein aktuelles highjack.

AboutBuster 6.0
Scan started on [19.01.2006] at [18:15:16]
-------------------------------------------------------------
Internet Explorer Instances Terminated!
HomeSearch Service stopped if present
-------------------------------------------------------------
Removed Stream! C:\WINDOWS\TOSHIBA SATELLITE.bmp:tnuoj
Removed Stream! C:\WINDOWS\vb.ini:eylsgj
-------------------------------------------------------------
Removed File! : C:\WINDOWS\cdvfs.dat
Removed File! : C:\WINDOWS\gxrdi.log
Removed File! : C:\WINDOWS\system32\kcdap.txt
-------------------------------------------------------------
Removed Temp Files
Internet Explorer Settings Reset!
-------------------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 18:17:45


AboutBuster 6.0
Scan started on [19.01.2006] at [18:20:16]
-------------------------------------------------------------
Internet Explorer Instances Terminated!
HomeSearch Service stopped if present
-------------------------------------------------------------
No Ads Found!
-------------------------------------------------------------
No Files Found!
-------------------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 18:20:19


Logfile of HijackThis v1.99.1
Scan saved at 18:41:28, on 19.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\QSound\QSound Virtual Engine\qvecplsk.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HiJackThis\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QveCtl2Tray] C:\Programme\QSound\QSound Virtual Engine\qvecplsk.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125763750296
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

gruss
rkoks