Hallo,

nach Fremdbenutzung meines Notebooks erhalte ich seit 3 Tagen durch den Antivir Guard permanente Meldungen über den Fund eines Trojaners.

Antivir weist dabei auf den Trojaner TR/Dldr.Small.ayl.0 hin und erwähnt als spezielle Datei "rdU52405[1].exe".

Hier mein Logfile mit der herzlichen Bitte um Hilfe.

Vielen Dank im Voraus

Horst

Logfile of HijackThis v1.99.1
Scan saved at 14:25:55, on 28.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\EzButton\EzButton.EXE
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\DOKUME~1\Horst\EIGENE~1\FNTS~1\regedit.exe
C:\Dokumente und Einstellungen\Horst\Eigene Dateien\?asks\s?ool32.exe
C:\Programme\iFinger\iFinger.exe
C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\totalcmd\TOTALCMD.EXE
C:\WINDOWS\TEMP\win67.tmp.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\TEMP\win60.tmp.exe
C:\WINDOWS\TEMP\win67.tmp.exe
C:\WINDOWS\TEMP\win60.tmp.exe
C:\aaa\HijackThis.exe

R3 - URLSearchHook: (no name) - {4B014B09-D9C1-F464-95AE-858ADFA4A9C9} - C:\WINDOWS\system32\uoj.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4B014B09-D9C1-F464-95AE-858ADFA4A9C9} - C:\WINDOWS\system32\uoj.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\Programme\iFinger\plugins\IE.ifp
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sdso] "C:\DOKUME~1\Horst\EIGENE~1\FNTS~1\regedit.exe" -vt mt
O4 - HKCU\..\Run: [Mmob] C:\Dokumente und Einstellungen\Horst\Eigene Dateien\?asks\s?ool32.exe
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: iFinger 2.1.lnk = C:\Programme\iFinger\iFinger.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106665572375
O17 - HKLM\System\CCS\Services\Tcpip\..\{75918FCD-639C-4AE6-AAD0-D7A6CE868EB9}: NameServer = 192.168.0.1,194.8.194.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB463B0C-2A3D-4FE2-A6D8-248CCC382FFE}: NameServer = 213.168.112.60,194.8.194.60
O20 - Winlogon Notify: winzoa32 - C:\WINDOWS\SYSTEM32\winzoa32.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

Hoe1

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

l2mfix --> Option 1 abarbeiten und poste das Log
http://virus-protect.org/l2mfix.html

Hallo Sabina,

hoffe, ich hab' das so richtig gemacht! <schwitz>

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC99-2E21

Verzeichnis von C:\WINDOWS\system32

28.02.2006 12:37 2 wcptr.exe
28.02.2006 12:36 156.160 oins.exe
28.02.2006 12:36 15.557 dfrgsrv.exe
28.02.2006 12:29 1.158 wpa.dbl
24.02.2006 16:36 19.456 winzoa32.dll
14.02.2006 20:07 139.264 uoj.dll
08.02.2006 06:23 4.513.120 MRT.exe
18.01.2006 13:05 57.344 avsda.dll
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll
19.12.2005 19:30 4.730.880 wmp.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
11.11.2005 14:22 250.288 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC99-2E21

Verzeichnis von C:\DOKUME~1\Horst\LOKALE~1\Temp

28.02.2006 17:04 512 ~DFB83.tmp
28.02.2006 17:04 512 ~DF9A9.tmp
2 Datei(en) 1.024 Bytes
0 Verzeichnis(se), 37.279.723.520 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC99-2E21

Verzeichnis von C:\WINDOWS

28.02.2006 17:00 1.487.522 WindowsUpdate.log
28.02.2006 17:00 0 0.log
28.02.2006 17:00 2.048 bootstat.dat
28.02.2006 16:59 32.618 SchedLgU.Txt
28.02.2006 16:56 906 wincmd.ini
28.02.2006 16:47 9.798 ModemLog_TOSHIBA Software Modem.txt
28.02.2006 16:44 742.405 setupapi.log
28.02.2006 12:36 39.424 mtuninst.exe
24.02.2006 20:13 516 wiadebug.log
24.02.2006 14:59 50 wiaservc.log
24.02.2006 13:47 923 spupdsvc.log
24.02.2006 13:43 1.374 imsins.log
24.02.2006 13:43 132.028 comsetup.log
24.02.2006 13:43 149.139 tsoc.log
24.02.2006 13:43 20.781 ocmsn.log
24.02.2006 13:43 80.261 ntdtcsetup.log
24.02.2006 13:43 57.091 iis6.log
24.02.2006 13:43 10.621 KB911927.log
24.02.2006 13:43 19.002 msgsocm.log
24.02.2006 13:43 197.815 ocgen.log
24.02.2006 13:43 361.342 FaxSetup.log
24.02.2006 13:43 22.373 updspapi.log
24.02.2006 13:43 1.374 imsins.BAK
24.02.2006 13:43 5.628 KB911564.log
24.02.2006 13:43 51.555 wmsetup.log
24.02.2006 13:42 5.866 KB911565.log
24.02.2006 13:42 6.653 KB913446.log
04.02.2006 12:26 107.134 UninstallFirefox.exe
04.02.2006 12:25 9.714 mozver.dat
28.01.2006 13:30 54.156 QTFont.qfn
21.01.2006 15:28 10.049 KB908519.log
07.01.2006 16:59 11.062 KB912919.log
21.12.2005 16:45 1.409 QTFont.for
18.12.2005 11:41 9.875 KB910437.log
18.12.2005 11:41 15.863 KB905915.log
11.11.2005 12:07 11.855 KB896424.log
09.11.2005 19:01 316.640 WMSysPr9.prx
24.10.2005 15:42 121 GEARInstall.log
17.10.2005 19:02 21.001 KB901017.log
17.10.2005 19:02 23.190 KB902400.log
17.10.2005 19:01 14.107 KB896688.log
17.10.2005 19:01 13.596 KB905414.log
17.10.2005 19:01 13.391 KB900725.log
17.10.2005 19:01 11.235 KB904706.log
17.10.2005 19:01 11.877 KB905749.log



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC99-2E21

Verzeichnis von C:\

28.02.2006 17:09 0 sys.txt
28.02.2006 17:08 9.201 system.txt
28.02.2006 17:07 339 systemtemp.txt
28.02.2006 17:04 99.347 system32.txt
28.02.2006 17:00 1.072.222.208 hiberfil.sys
28.02.2006 17:00 1.610.612.736 pagefile.sys
18.11.2004 15:11 211 boot.ini



L2MFIX find log 010406
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winzoa32]
"Asynchronous"=dword:00000001
"DllName"="winzoa32.dll"
"Impersonate"=dword:00000000
"Startup"="EvtStartup"
"Shutdown"="EvtShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften f�r Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite f�r Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung f�r Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen f�r Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen f�r die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung f�r Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen� f�r die Verschl�sselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung f�r HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen f�r Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverkn�pfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen�"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausf�hren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Eigenschaftenseite f�r vorherige Versionen"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Vorherige Versionen"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begr�áungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abz�gen �ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverkn�pfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"
"{8FF43EAA-2BB1-4A53-8E18-D9221E56E593}"="CePMTab Property Sheet"
"{9ED66769-A198-41FE-8615-601691C68846}"="TouchPad Property Sheet"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{36518101-49AC-42CB-8E4C-40C1F328A565}"="Rad2 Extension"
"{5380C14E-C0A1-4D66-87DB-5995E6FF4623}"="Rad Extension"
"{75B8D633-9021-442C-9EA4-FF4BE72CE20F}"="NRad2 Extension"
"{C6844A1E-2C59-415A-84B3-C6A458372779}"="RadType Extension"
"{D00900BC-23F7-4FD6-BFA2-8232112C5C49}"="NRad Extension"
"{D2FD83AE-994A-4D4B-9097-2C9E11ED85F0}"="RadClkr Extension"
"{7700EB62-DB7C-47AF-A092-04376CA1D24C}"="RadMnu Extension"
"{4EFE464B-3D0B-4800-A5DE-2321283A3256}"="QCD IconHandler"
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}"="Universelle Plug & Play-Ger„te"
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}"="iTunes"
"{21569614-B795-46b1-85F4-E737A8DC09AD}"="Shell Search Band"
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"="Shell Extension for Malware scanning"

**********************************************************************************
HKEY ROOT CLASSIDS:
**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
avsda.dll Wed 18 Jan 2006 13:05:54 A.... 57.344 56,00 K
gdi32.dll Thu 29 Dec 2005 3:54:38 A.... 280.064 273,50 K
shdocvw.dll Thu 1 Dec 2005 4:31:06 A.... 1.492.480 1,42 M
uoj.dll Tue 14 Feb 2006 20:07:52 A.... 139.264 136,00 K
webclnt.dll Wed 4 Jan 2006 4:35:02 A.... 68.096 66,50 K
winzoa32.dll Fri 24 Feb 2006 16:36:44 A.... 19.456 19,00 K
wmp.dll Mon 19 Dec 2005 19:30:46 A.... 4.730.880 4,51 M

7 items found: 7 files, 0 directories.
Total of file sizes: 6.787.584 bytes 6,47 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC99-2E21

Verzeichnis von C:\WINDOWS\System32

02.07.2005 11:36 <DIR> dllcache
29.11.2004 05:09 438.272 Rad.dll
29.11.2004 05:09 122.880 RadClkR.dll
29.11.2004 05:08 520.192 RadMnu.dll
28.11.2004 22:43 18.332 RadProbe.sys
28.11.2004 22:43 1.403 Probe.inf
28.11.2004 22:40 163.909 RadType.dll
28.11.2004 22:40 65.536 RadRegs.dll
28.11.2004 22:39 212.992 RadExe.dll
28.11.2004 22:37 180.224 NRad.dll
28.11.2004 00:09 65.536 RadPlk.dll
28.11.2004 00:08 61.440 RadNlb.dll
28.11.2004 00:07 65.536 RadIta.dll
28.11.2004 00:07 61.440 RadHun.dll
28.11.2004 00:07 65.536 RadFra.dll
28.11.2004 00:06 61.440 RadEsp.dll
28.11.2004 00:06 61.440 RadEnu.dll
28.11.2004 00:05 61.440 RadDeu.dll
28.11.2004 00:03 53.248 OEM.dll
04.11.2004 05:46 9.315 radregs.inf
19.08.2004 11:09 <DIR> Microsoft
19 Datei(en) 2.290.111 Bytes
2 Verzeichnis(se), 37.277.753.344 Bytes frei

*
Kopiere folgenden Text in den Editor (Start ==> Ausführen ==> "notepad") ==> Speichern unter ==> Gib als Dateityp "Alle Dateien" an und als Namen: gemdatfind.bat speichern ==> Doppenklick auf die Datei ==> Es öffnet sich ein Editor ==> Kopier den gesamten Inhalt

Zitat:

cd\
cd C:\Dokumente und Einstellungen\Horst\Eigene Dateien\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" --> lasse HijackThis geoeffnet

R3 - URLSearchHook: (no name) - {4B014B09-D9C1-F464-95AE-858ADFA4A9C9} - C:\WINDOWS\system32\uoj.dll
O2 - BHO: (no name) - {4B014B09-D9C1-F464-95AE-858ADFA4A9C9} - C:\WINDOWS\system32\uoj.dll
O4 - HKCU\..\Run: [Sdso] "C:\DOKUME~1\Horst\EIGENE~1\FNTS~1\regedit.exe " -vt mt
O4 - HKCU\..\Run: [Mmob] C:\Dokumente und Einstellungen\Horst\Eigene Dateien\?asks\s?ool32.exe
O20 - Winlogon Notify: winzoa32 - C:\WINDOWS\SYSTEM32\winzoa32.dll

*
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............ (von hier aus...)

C:\WINDOWS\system32\wcptr.exe
C:\WINDOWS\system32\oins.exe
C:\WINDOWS\system32\dfrgsrv.exe
C:\WINDOWS\system32\winzoa32.dll
C:\WINDOWS\TEMP\win60.tmp.exe
C:\WINDOWS\TEMP\win67.tmp.exe
C:\WINDOWS\TEMP\win60.tmp.exe
C:\Dokumente und Einstellungen\Horst\Eigene Dateien\?asks\s?ool32.exe
C:\Dokumente und Einstellungen\Horst\Eigene Dateien\FNTS~1\regedit.exe
C:\WINDOWS\system32\uoj.dll
C:\WINDOWS\mtuninst.exe

PC neustarten

*
nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

*
loeschen:
C:\Dokumente und Einstellungen\Horst\Eigene Dateien\?asks
C:\Dokumente und Einstellungen\Horst\Eigene Dateien\FNTS.. (ist nicht der komplette name...du musst suchen)

*
SmitfraudFix --> scanne Option 2 und poste dann den Scanreport
http://www.trojaner-board.de/81949-r...tfraudfix.html

*
Scanne mit kaspersky und poste den Scanreport
http://virus-protect.org/onlinescan.html

-------------------------------------------------------------------

C:\WINDOWS\mtuninst.exe -> Spyware.MediaTickets
C:\WINDOWS\system32\dfrgsrv.exe -> Trojan-Downloader.Win32.Zlob.hh
C:\WINDOWS\system32\wcptr.exe --> Clickspring Spyware
C:\Dokumente und Einstellungen\Horst\Eigene Dateien\?asks\s?ool32.exe --> Clickspring Spyware
C:\WINDOWS\system32\oins.exe -> Spyware.MediaTickets

Hallo Sabina,

habe in Killbox (inzwischen zum 2. Mal) die folgenden Einträge einen nach dem anderen nach deiner Anweisung abgearbeitet:

C:\WINDOWS\system32\wcptr.exe
C:\WINDOWS\system32\oins.exe
C:\WINDOWS\system32\dfrgsrv.exe
C:\WINDOWS\system32\winzoa32.dll
C:\WINDOWS\TEMP\win60.tmp.exe
C:\WINDOWS\TEMP\win67.tmp.exe
C:\WINDOWS\TEMP\win60.tmp.exe
C:\Dokumente und Einstellungen\Horst\Eigene Dateien\?asks\s?ool32.exe
C:\Dokumente und Einstellungen\Horst\Eigene Dateien\FNTS~1\regedit.exe
C:\WINDOWS\system32\uoj.dll
C:\WINDOWS\mtuninst.exe

Erhalte nach einem Neustart aber keine Datei C:\!killbox auf meinem Rechner!

Was nun?

Gruß
Horst

normalerweise erstellt die killbox --> C:\!killbox

Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

wenn du es dennoch nicht findest..lass...der Kaspersky wird es finden

Hi Sabina,

hab' im TotalCommander die versteckten Dateien angezeigt. Trotzdem sind die Dateien nicht da.

Ebenso wenig die von dir erwähnten
"loeschen:
C:\Dokumente und Einstellungen\Horst\Eigene Dateien\?asks
C:\Dokumente und Einstellungen\Horst\Eigene Dateien\FNTS.. (ist nicht der komplette name...du musst suchen)"

Lad' mir jetzt mal en kaspersky runter.

Gruß
Horst

ich seh gerade, du haelst nicht meine schoen organisierte Reihenfolge ein
Beim Saeubern muss man Nerven haben und darf nicht wichtige Schritte ueberspringen.

Sorry Sabina,

ich bin mir keiner Schuld bewusst.
Wo habe ich deine Reihenfolge nicht eingehalten?
Vielleicht bin ich ja ein bißchen blöd, aber nicht mit Absicht. ;-))

Horst

1.gemdatfind.bat
2.Fixen mit HijackThis
3.Killbox
4.SmitfraudFix
5.Kaspersky

Hallo Sabina,

ich meine exakt in der Reihenfolge vorgegangen zu sein.
Habe eben noch mal die Schritte ab 2. nachvollzogen, d.h. ohne die gemdatfind.bat.

Es wird bei mir keine Datei C:\!killbox erzeugt und auch die nachfolgend zu löschenden 2 Dateien finden sich nicht auf meinem Notebook.

Ich habe Smitfraudfix laufen lassen und den Kaspersky Online-Scan.

Ich sende dir jetzt mal beide Reports, ansonsten muss ich halt noch mal ab Schritt 1 los, obwohl ich das eigentlich gemacht hab'.

Sorry für die Mühe, die ich mache.

Horst


SmitFraudFix v2.21

Rapport fait à 20:25:39,87 le 28.02.2006
Executé à partir de C:\aaa\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



KASPERSKY ON-LINE SCANNER REPORT
Tuesday, February 28, 2006 9:11:10 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 28/02/2006
Kaspersky Anti-Virus database records: 168373
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\

Scan Statistics:
Total number of scanned objects: 49524
Number of viruses found: 3
Number of infected objects: 21
Number of suspicious objects: 0
Duration of the scan process: 00:34:11

Infected Object Name / Virus Name / Last Action
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Inbox/[From newsletter@wissen.de][Date Thu, 08 Dec 2005 19:12:52 +0100]/UNNAMED/[From "Musicmatch Newsletter" <mm1073002.49046874@response.musicmatch.com>][Date Fri, 9 Dec 2005 00:00:54 -0800]/UNNAMED/[From Admin@gmx.de][Date Sun, 18 Dec 2005 23:49:50 UTC]/gmx-textinfo.zip/File-packed_dataInfo.exe Infected: Email-Worm.Win32.Sober.y skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Inbox/[From newsletter@wissen.de][Date Thu, 08 Dec 2005 19:12:52 +0100]/UNNAMED/[From "Musicmatch Newsletter" <mm1073002.49046874@response.musicmatch.com>][Date Fri, 9 Dec 2005 00:00:54 -0800]/UNNAMED/[From Admin@gmx.de][Date Sun, 18 Dec 2005 23:49:50 UTC]/gmx-textinfo.zip Infected: Email-Worm.Win32.Sober.y skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Inbox/[From newsletter@wissen.de][Date Thu, 08 Dec 2005 19:12:52 +0100]/UNNAMED/[From "Musicmatch Newsletter" <mm1073002.49046874@response.musicmatch.com>][Date Fri, 9 Dec 2005 00:00:54 -0800]/UNNAMED/[From Oxygen3 24h-365d <oxygen@PANDASOFTWARE.COM>][Date Fri, 23 Dec 2005 13:00:29 +0100]/text/[From Service@scarimango.de][Date Fri, 23 Dec 2005 13:36:17 GMT]/UNNAMED/File-packed_dataInfo.exe Infected: Email-Worm.Win32.Sober.y skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Inbox/[From newsletter@wissen.de][Date Thu, 08 Dec 2005 19:12:52 +0100]/UNNAMED/[From "Musicmatch Newsletter" <mm1073002.49046874@response.musicmatch.com>][Date Fri, 9 Dec 2005 00:00:54 -0800]/UNNAMED/[From Oxygen3 24h-365d <oxygen@PANDASOFTWARE.COM>][Date Fri, 23 Dec 2005 13:00:29 +0100]/text/[From Service@scarimango.de][Date Fri, 23 Dec 2005 13:36:17 GMT]/UNNAMED Infected: Email-Worm.Win32.Sober.y skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Inbox/[From newsletter@wissen.de][Date Thu, 08 Dec 2005 19:12:52 +0100]/UNNAMED/[From "Musicmatch Newsletter" <mm1073002.49046874@response.musicmatch.com>][Date Fri, 9 Dec 2005 00:00:54 -0800]/UNNAMED/[From Oxygen3 24h-365d <oxygen@PANDASOFTWARE.COM>][Date Fri, 23 Dec 2005 13:00:29 +0100]/text/[From CHIP Umfrage <umfrage@info.chip.de>][Date Tue, 3 Jan 2006 15:05:08 +0100]/text/[From "a-squared Newsletter" <donotreply@www.emsisoft.com>][Date Tue, 3 Jan 2006 15:17:5 ... /File-packed_dataInfo.exe Infected: Email-Worm.Win32.Sober.y skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Inbox/[From newsletter@wissen.de][Date Thu, 08 Dec 2005 19:12:52 +0100]/UNNAMED/[From "Musicmatch Newsletter" <mm1073002.49046874@response.musicmatch.com>][Date Fri, 9 Dec 2005 00:00:54 -0800]/UNNAMED/[From Oxygen3 24h-365d <oxygen@PANDASOFTWARE.COM>][Date Fri, 23 Dec 2005 13:00:29 +0100]/text/[From CHIP Umfrage <umfrage@info.chip.de>][Date Tue, 3 Jan 2006 15:05:08 +0100]/text/[From "a-squared Newsletter" <donotreply@www.emsisoft.com>][Date Tue, 3 Jan 2006 15:17:57 +0100 (CET)]/UNNAMED Infected: Email-Worm.Win32.Sober.y skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Inbox/[From newsletter@wissen.de][Date Thu, 08 Dec 2005 19:12:52 +0100]/UNNAMED/[From "Musicmatch Newsletter" <mm1073002.49046874@response.musicmatch.com>][Date Fri, 9 Dec 2005 00:00:54 -0800]/UNNAMED/[From Oxygen3 24h-365d <oxygen@PANDASOFTWARE.COM>][Date Fri, 23 Dec 2005 13:00:29 +0100]/text/[From CHIP Umfrage <umfrage@info.chip.de>][Date Tue, 3 Jan 2006 15:05:08 +0100]/text Infected: Email-Worm.Win32.Sober.y skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Inbox/[From newsletter@wissen.de][Date Thu, 08 Dec 2005 19:12:52 +0100]/UNNAMED/[From "Musicmatch Newsletter" <mm1073002.49046874@response.musicmatch.com>][Date Fri, 9 Dec 2005 00:00:54 -0800]/UNNAMED/[From Oxygen3 24h-365d <oxygen@PANDASOFTWARE.COM>][Date Fri, 23 Dec 2005 13:00:29 +0100]/text Infected: Email-Worm.Win32.Sober.y skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Inbox/[From newsletter@wissen.de][Date Thu, 08 Dec 2005 19:12:52 +0100]/UNNAMED/[From "Musicmatch Newsletter" <mm1073002.49046874@response.musicmatch.com>][Date Fri, 9 Dec 2005 00:00:54 -0800]/UNNAMED Infected: Email-Worm.Win32.Sober.y skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Inbox/[From newsletter@wissen.de][Date Thu, 08 Dec 2005 19:12:52 +0100]/UNNAMED Infected: Email-Worm.Win32.Sober.y skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Inbox Mail Berkeley mbox: infected - 10 skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Trash/[From "Musicmatch Newsletter" <mm1072802.49046874@response.musicmatch.com>][Date Thu, 27 Oct 2005 15:56:32 -0700]/UNNAMED/[From Oxygen3 24h-365d <oxygen@PANDASOFTWARE.COM>][Date Fri, 18 Nov 2005 12:14:20 +0100]/text/[From HolidayCash <noreply@track4.weekend-bargains.com>][Date Thu, 8 Dec 2005 01:51:26 +0100 (CET)]/UNNAMED/[From Creative Labs Europe <bounce@creur.com>][Date 8 Dec 2005 20:08:43 +0000]/UNNAMED/[From Admin@gmx.de][Date Sun, 18 Dec 2005 23:49:50 ... /File-packed_dataInfo.exe Infected: Email-Worm.Win32.Sober.y skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Trash/[From "Musicmatch Newsletter" <mm1072802.49046874@response.musicmatch.com>][Date Thu, 27 Oct 2005 15:56:32 -0700]/UNNAMED/[From Oxygen3 24h-365d <oxygen@PANDASOFTWARE.COM>][Date Fri, 18 Nov 2005 12:14:20 +0100]/text/[From HolidayCash <noreply@track4.weekend-bargains.com>][Date Thu, 8 Dec 2005 01:51:26 +0100 (CET)]/UNNAMED/[From Creative Labs Europe <bounce@creur.com>][Date 8 Dec 2005 20:08:43 +0000]/UNNAMED/[From Admin@gmx.de][Date Sun, 18 Dec 2005 23:49:50 UTC]/UNNAMED/UNNAMED Infected: Email-Worm.Win32.Sober.y skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Trash/[From "Musicmatch Newsletter" <mm1072802.49046874@response.musicmatch.com>][Date Thu, 27 Oct 2005 15:56:32 -0700]/UNNAMED/[From Oxygen3 24h-365d <oxygen@PANDASOFTWARE.COM>][Date Fri, 18 Nov 2005 12:14:20 +0100]/text/[From HolidayCash <noreply@track4.weekend-bargains.com>][Date Thu, 8 Dec 2005 01:51:26 +0100 (CET)]/UNNAMED/[From Creative Labs Europe <bounce@creur.com>][Date 8 Dec 2005 20:08:43 +0000]/UNNAMED/[From Admin@gmx.de][Date Sun, 18 Dec 2005 23:49:50 UTC]/UNNAMED Infected: Email-Worm.Win32.Sober.y skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Trash/[From "Musicmatch Newsletter" <mm1072802.49046874@response.musicmatch.com>][Date Thu, 27 Oct 2005 15:56:32 -0700]/UNNAMED/[From Oxygen3 24h-365d <oxygen@PANDASOFTWARE.COM>][Date Fri, 18 Nov 2005 12:14:20 +0100]/text/[From HolidayCash <noreply@track4.weekend-bargains.com>][Date Thu, 8 Dec 2005 01:51:26 +0100 (CET)]/UNNAMED/[From Creative Labs Europe <bounce@creur.com>][Date 8 Dec 2005 20:08:43 +0000]/UNNAMED Infected: Email-Worm.Win32.Sober.y skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Trash/[From "Musicmatch Newsletter" <mm1072802.49046874@response.musicmatch.com>][Date Thu, 27 Oct 2005 15:56:32 -0700]/UNNAMED/[From Oxygen3 24h-365d <oxygen@PANDASOFTWARE.COM>][Date Fri, 18 Nov 2005 12:14:20 +0100]/text/[From HolidayCash <noreply@track4.weekend-bargains.com>][Date Thu, 8 Dec 2005 01:51:26 +0100 (CET)]/UNNAMED Infected: Email-Worm.Win32.Sober.y skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Trash/[From "Musicmatch Newsletter" <mm1072802.49046874@response.musicmatch.com>][Date Thu, 27 Oct 2005 15:56:32 -0700]/UNNAMED/[From Oxygen3 24h-365d <oxygen@PANDASOFTWARE.COM>][Date Fri, 18 Nov 2005 12:14:20 +0100]/text Infected: Email-Worm.Win32.Sober.y skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Trash/[From "Musicmatch Newsletter" <mm1072802.49046874@response.musicmatch.com>][Date Thu, 27 Oct 2005 15:56:32 -0700]/UNNAMED Infected: Email-Worm.Win32.Sober.y skipped
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Thunderbird\Profiles\s53oe8l0.default\Mail\Local Folders\Trash Mail Berkeley mbox: infected - 7 skipped
C:\System Volume Information\_restore{AD75C7A0-8634-4851-8FE2-E6E685C78125}\RP188\A0013297.exe Infected: Trojan-Downloader.Win32.PurityScan.bt skipped
C:\System Volume Information\_restore{AD75C7A0-8634-4851-8FE2-E6E685C78125}\RP188\A0013298.exe Infected: Trojan-Downloader.Win32.Zlob.hp skipped

Scan process completed.

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
so kann man die Mails restlos aus der Inbox zu entfernen:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren (Datei-Menü)
http://virus-protect.org/artikel/new...utbkfraud.html

Alle verseuchten Mails loeschen !

3. scanne noch einmal mit Kaspersky (und berichte)
4. aktiviere die Systemwiederhestellung wieder.

Hallo Sabina,

war in meiner Schule etwas eingespannt und komme daher erst jetzt dazu zu antworten.

Hab' mein Notebook gerade noch mal mit Kaspersky online gescannt, nachdem ich meine Mails gelöscht und die Inbox von Thunderbird komprimiert hab' (compact this folder?).

Meldung lt. Kaspersky:
"The scan is complete.
No malware has been detected. The sections that have been scanned are CLEAN.
Report ist empty"

Systemherstellung ist wieder aktiviert.
Kann ich aufatmen? ;-))

Gruß
Horst

Hoe1

Im Grunde muesste nun alles wieder in Ordnung sein, aber doppelt haelt besser
scanne, wenn du Zeit hast mit Bitdefender/Online und McAfee FreeScan (Online)
und berichte.
http://virus-protect.org/onlinescan.html

Hallo Sabina,

juchhu, geschafft.

Weder McAffee, noch Bitdefender haben etwas gefunden (vgl. Berichte unten).
Sieht so aus, als wäre ich mit deiner Super-Hilfe alles losgeworden.

Vielen Dank für deine Mühe.
Ich hoffe, ich lade dir nicht unnötig Arbeit auf, wenn ich dich wärmstens allen weiterempfehle, die mit diesen Plagegeistern zu tun haben.

Nochmals Danke,

Horst



//-----------------------------------------------------------------
//
// BitDefender Berichtdatei
//
// Erstellt am: 06/03/2006 17:01:47
//
//-----------------------------------------------------------------


Statistiken

Pfad prüfen : C:\
Ordner : 4062
Dateien : 484769
Archive : 7393
Komprimierte Dateien : 53257
Gefundene Viren : 0
Infizierte Dateien : 0
Warnmeldungen : 0
Verdächtige Dateien : 0
Desinfizierte Dateien : 0
Gelöschte Dateien : 0
Kopierte Dateien : 0
Verschobene Dateien : 0
" Umbenannte Dateien : 0
I/O Fehler : 24
Prüfzeit := 00:35:59
Prüfgeschwindigkeit (Dateien/Sekunde) : 224

Virendefinitionen : 70374
Plugins prüfen : 11
Archiv-Plugins : 34
Entpacker Plugins" : 3
Mail Plugins" : 6
System Plugins" : 1

Prüfoptionen

Finden
[X] Bootsektor prüfen
[X] Archive prüfen
[X] Komprimierte Dateien prüfen
[X] E-Mail prüfen

Dateimaske
[ ] Programme
[X] Alle Dateien
[ ] Benutzerdefinierte Erweiterungen:
[ ] Erweiterungen ausschließen: ;

Aktion

Infizierte Objekte
[X] Ignorieren
[ ] Desinfiziert
[ ] Löschen
[ ] Kopieren
[ ] In den Quarantäne-Ordner verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Zweite Aktion
[X] Ignorieren
[ ] Löschen
[ ] Kopieren
[ ] In den Quarantäne-Ordner verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Prüfoptionen
[X] Warnmeldungen aktivieren
[X] Heuristik aktivieren
[ ] Alle Dateien im Bericht anzeigen"
[X] Berichtdatei : vscan.log
[ ] Zum Bericht hinzufügen



McAffee Free Scan

Scan Status
Files Scanned: 49402
Files Infected: 0
Information: Scanning completed!