TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE!

angie85 · 13.08.2006, 14:08

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 21:39:49 11.08.2006

+ Scan-Ergebnis:

C:\WINDOWS\system32\byxutur.dll -> Adware.Virtumonde : Keine Aktion durchgeführt.
C:\WINDOWS\system32\ddabb.dll -> Adware.Virtumonde : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\CLSID\{2178F3FB-2560-458f-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2178F3FB-2560-458F-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : Keine Aktion durchgeführt.
HKU\S-1-5-21-1645522239-1708537768-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2178F3FB-2560-458F-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@2o7[2].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@ads.addynamix[1].txt -> TrackingCookie.Addynamix : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@ad.adition[2].txt -> TrackingCookie.Adition : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@adtech[1].txt -> TrackingCookie.Adtech : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@advertising[1].txt -> TrackingCookie.Advertising : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@adviva[2].txt -> TrackingCookie.Adviva : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@atdmt[2].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@doubleclick[1].txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@e-2dj6wfk4qldpeco.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@e-2dj6wfkiqodpcap.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@e-2dj6wfl4wld5eeq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@e-2dj6wfmiqhajoco.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@e-2dj6wgmyopdzaep.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@as1.falkag[2].txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@fastclick[1].txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@ivwbox[2].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@server.iad.liveperson[1].txt -> TrackingCookie.Liveperson : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@mediaplex[1].txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@edge.ru4[2].txt -> TrackingCookie.Ru4 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Angie\Cookies\angie@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Keine Aktion durchgeführt.

::Berichtende

das ist jetzt das zweite....

angie85 · 13.08.2006, 14:11

wer hilft mir denn jetzt wenn felix gesperrt worden ist???

angie85 · 13.08.2006, 14:12

Logfile of HijackThis v1.99.1
Scan saved at 15:11:55, on 13.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Angie\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yooliety.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WinAntiVirusPro2006] "C:\Programme\WinAntiVirus Pro 2006\WinAV.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: LimeWire 4.2.6 Pro.lnk = C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/sysprotect.com/scanner/pages/scanner/SysProtectScannerInstall2.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://www.pop-radio.de/video_popup/ampx_en_dl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

so jetzt bin ich mit allem fertig!
wie gehts weiter?
an wen auch immer....

cacatoa · 13.08.2006, 18:28

Hi,
du hast dir aber WinAntiVirusPro2006 nicht zufällig absichtlich runtergeladen, oder?
Außerdem würde ich mal mit clearprog (clicke auf "alles löschen") alle cookies und sonstigen Müll raushauen.
Gruß cacatoa

angie85 · 16.08.2006, 20:46

ne, mir wurde immer empfohlen das antivirus 2006 runterzuladen....
aber ich hab das nicht gemacht!
hätte ich es etwa machen sollen???
ok, ich mach das mit dem clearprog .... und danach?

cacatoa · 17.08.2006, 08:35

Hi, angie85,
hier ist ein Link betr. WinAntiVirus.
Arbeite ihn ab und poste danach ein neues Logfile.
Gruß cacatoa

angie85 · 17.08.2006, 11:03

das ist ja alles schön un gut....
aber ich versteh da nur bahnhof.
das fängt schon beim back-up an, mit dieser sicherheitskopie.
wie stell ich die her?
Kann mir da jemand helfen Bitte?

Wildone · 17.08.2006, 11:18

Hallo,
so jetzt kann ich es nicht mehr mit ansehen. Jetzt knüppeln wir mal kurz das ganze nochmal von Anfang an durch.
Was für Probleme hast du jetzt eigentlich noch? Popups? Virenmeldungen? (Bitte möglichst genaue Beschreibung)
Poste noch ein Log von Silentrunners.

Ich denke fast das der von cacatoa gepostete Link für dich nicht zutrifft, das würde er nur wenn du das Programm Winantivirus Pro 2006 installiert hättest, dies ist aber nicht der Fall (korrigiere mich wenn ich mich täusche).

Edit
Vergiß den zweiten Teil, ich hatte etwas bei deinem HijackThis Log übersehen.

Grüße Wildone

angie85 · 17.08.2006, 11:30

"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"SpyBrowser" = "C:\Programme\SpyBro\SpyBro.exe /autostart" [file not found]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"Lexmark X1100 Series" = ""C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"" ["Lexmark International, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"AdaptecDirectCD" = ""C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"" ["Roxio"]
"ICQ Lite" = ""C:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."]
"WinAntiVirusPro2006" = ""C:\Programme\WinAntiVirus Pro 2006\WinAV.exe" /min" [file not found]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]
{B5141620-C2B2-4D95-9F0F-134D99C87AB0}\(Default) = (no title provided)
-> {HKLM...CLSID} = "IEFW Object"
\InProcServer32\(Default) = "C:\Programme\WinAntiVirus Pro 2006\IEFWBHO.dll" ["WinSoftware"]
{FB2B76C2-7E54-4356-80BF-8F728BAF7301}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ddabb.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}" = "jetAudio"
-> {HKLM...CLSID} = "JetFlExt"
\InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}" = "SafeErase"
-> {HKLM...CLSID} = "SafeEraseObj Class"
\InProcServer32\(Default) = "C:\Programme\OO Software\SafeErase\oosesh.dll" ["O&O Software GmbH"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.0.0792.00.dll" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{5E44E225-A408-11CF-B581-008029601108}" = "Adaptec DirectCD Shell Extension"
-> {HKLM...CLSID} = "Adaptec DirectCD Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\Roxio\EASYCD~1\DirectCD\Shellex.dll" ["Roxio"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."]

HKLM\System\CurrentControlSet\Control\Session Manager\
"BootExecute" = ** WARNING -- empty or invalid data! **

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! ddabb\DLLName = "C:\WINDOWS\system32\ddabb.dll" [null data]
INFECTION WARNING! winjgf32\DLLName = "winjgf32.dll" [file not found]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
SafeErase\(Default) = "{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}"
-> {HKLM...CLSID} = "SafeEraseObj Class"
\InProcServer32\(Default) = "C:\Programme\OO Software\SafeErase\oosesh.dll" ["O&O Software GmbH"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
ShellExtension\(Default) = "{1AC5C88A-DEA7-462b-A232-04AF5CA42E7E}"
-> {HKLM...CLSID} = "ShellExtension Class"
\InProcServer32\(Default) = "C:\Programme\WinAntiVirus Pro 2006\WAV6COM.dll" ["WinSoftware"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
jetAudio\(Default) = "{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}"
-> {HKLM...CLSID} = "JetFlExt"
\InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."]
ShellExtension\(Default) = "{1AC5C88A-DEA7-462b-A232-04AF5CA42E7E}"
-> {HKLM...CLSID} = "ShellExtension Class"
\InProcServer32\(Default) = "C:\Programme\WinAntiVirus Pro 2006\WAV6COM.dll" ["WinSoftware"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
jetAudio\(Default) = "{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}"
-> {HKLM...CLSID} = "JetFlExt"
\InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."]
SafeErase\(Default) = "{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}"
-> {HKLM...CLSID} = "SafeEraseObj Class"
\InProcServer32\(Default) = "C:\Programme\OO Software\SafeErase\oosesh.dll" ["O&O Software GmbH"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Angie\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Startup items in "Angie" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"BlueSoleil" -> shortcut to: "C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe" ["IVT Corporation"]
"LimeWire 4.2.6 Pro" -> shortcut to: "C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe -startup" ["LimeWire, LLC"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 30
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

Missing lines (compared with English-language version):
"{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
BlueSoleil Hid Service, BlueSoleil Hid Service, "C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe" [null data]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
ewido anti-spyware 4.0 guard, ewido anti-spyware 4.0 guard, "C:\Programme\ewido anti-spyware 4.0\guard.exe" ["Anti-Malware Development a.s."]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 79 seconds, including 18 seconds for message boxes)

ne ich hab dieses winantivir 2006 nicht installiert.
mein bruder ist hier öffters noch am pc, den kann ich jetzt nicht fragen ob er es vielleicht gemacht hat....

angie85 · 17.08.2006, 11:36

sorry, zu deiner frage...
wenn ich mit dem internet explorer online geh, krieg ich popups von wegen warning error....

Wildone · 17.08.2006, 11:39

Hallo,

Zitat:

ne ich hab dieses winantivir 2006 nicht installiert.

Fakt ist, es ist drauf, wie auch immer das passiert ist.

Jetzt besorgst du dir erstmal Counterspy und führst es wie beschrieben aus, besonders das könnte wichtig sein:

Zitat:

Counterspy killt immer nur einen Teil Dateien. Man muss also immer wieder den Quarantäne-Ordner von Counterspy leeren und wieder neu damit scannen, solange bis Counterspy nichts mehr findet.

Außerdem gehst du danach mal diese Anleitung durch, ich hoffe mal deine Englischkenntnisse reichen dafür aus.

Grüße Wildone

angie85 · 17.08.2006, 21:44

Spyware Scan Details
Start Date: 17.08.2006 21:51:25
End Date: 17.08.2006 22:36:56
Total Time: 45 mins 31 secs

Detected spyware

WinAntiVirus Pro Rogue Security Program more information...
Status: Deleted

Infected files detected
c:\programme\winantivirus pro 2006\asmngr.dll
c:\programme\winantivirus pro 2006\asupdater.dat
c:\programme\winantivirus pro 2006\avkernel.dll
c:\programme\winantivirus pro 2006\bksites.dat
c:\programme\winantivirus pro 2006\bnlink.dat
c:\programme\winantivirus pro 2006\bpupdater.dat
c:\programme\winantivirus pro 2006\fat.exe
c:\programme\winantivirus pro 2006\fopn.exe
c:\programme\winantivirus pro 2006\fopn.sys
c:\programme\winantivirus pro 2006\fopnl.dll
c:\programme\winantivirus pro 2006\fwsvc.exe
c:\programme\winantivirus pro 2006\iefwbho.dll
c:\programme\winantivirus pro 2006\install.exe
c:\programme\winantivirus pro 2006\insthelp.exe
c:\programme\winantivirus pro 2006\lapv.dat
c:\programme\winantivirus pro 2006\license.rtf
c:\programme\winantivirus pro 2006\online.url
c:\programme\winantivirus pro 2006\pgupdater.dat
c:\programme\winantivirus pro 2006\phigh.bin
c:\programme\winantivirus pro 2006\pmedium.bin
c:\programme\winantivirus pro 2006\prc.dat
c:\programme\winantivirus pro 2006\prerules.xml
c:\programme\winantivirus pro 2006\ps.dat
c:\programme\winantivirus pro 2006\pv.dat
c:\programme\winantivirus pro 2006\pv.exe
c:\programme\winantivirus pro 2006\rpt.dll
c:\programme\winantivirus pro 2006\rulsrv.dll
c:\programme\winantivirus pro 2006\sqlite3.dll
c:\programme\winantivirus pro 2006\sr.log
c:\programme\winantivirus pro 2006\st.dat
c:\programme\winantivirus pro 2006\support.url
c:\programme\winantivirus pro 2006\unins000.dat
c:\programme\winantivirus pro 2006\unins000.exe
c:\programme\winantivirus pro 2006\uninstall.ico
c:\programme\winantivirus pro 2006\uninstallpage.html
c:\programme\winantivirus pro 2006\up.dat
c:\programme\winantivirus pro 2006\updater.dat
c:\programme\winantivirus pro 2006\vbpv.dat
c:\programme\winantivirus pro 2006\waupdater.dat
c:\programme\winantivirus pro 2006\wav6com.dll
c:\programme\winantivirus pro 2006\winpgi.dll
c:\programme\winantivirus pro 2006\worldmap.swf
c:\programme\winantivirus pro 2006\awbase\database\enemies.dat
c:\programme\winantivirus pro 2006\awbase\vbpv.dat
c:\programme\winantivirus pro 2006\img\button.gif
c:\programme\winantivirus pro 2006\img\button2.gif
c:\programme\winantivirus pro 2006\img\header.gif
c:\programme\winantivirus pro 2006\img\logo.gif
c:\programme\winantivirus pro 2006\img\spacer.gif
c:\programme\winantivirus pro 2006\img\top1.jpg
c:\programme\winantivirus pro 2006\img\top2.jpg
c:\programme\winantivirus pro 2006\img\top_line.gif
c:\programme\winantivirus pro 2006\pgbase\vbpv.dat
c:\programme\winantivirus pro 2006\res\cross.gif
c:\programme\winantivirus pro 2006\res\register.gif
c:\programme\winantivirus pro 2006\res\wa6p.gif
c:\programme\winantivirus pro 2006\wabase\vbase000.dat
c:\dokumente und einstellungen\all users\startmenü\programme\winantivirus pro 2006\winantivirus pro 2006.lnk
c:\windows\system32\av.cpl
c:\windows\system32\drivers\vspf_hk5.sys
c:\windows\system32\drivers\vspf5.sys
c:\windows\system32\drivers\fopn.sys
c:\windows\system32\stera.exe
c:\windows\system32\stera.log
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WapCHK.dll

Infected registry entries detected
HKEY_CLASSES_ROOT\AppID\WinPGI.DLL AppID {367A86A5-D048-4785-86BE-4E2706AAFDD9}
HKEY_CLASSES_ROOT\CLSID\{1AC5C88A-DEA7-462b-A232-04AF5CA42E7E} AppID
HKEY_CLASSES_ROOT\CLSID\{1AC5C88A-DEA7-462b-A232-04AF5CA42E7E}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\CLSID\{1AC5C88A-DEA7-462b-A232-04AF5CA42E7E}\Programmable
HKEY_CLASSES_ROOT\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}
HKEY_CLASSES_ROOT\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}\1.0\0\win32 C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WapCHK.dll
HKEY_CLASSES_ROOT\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}\1.0\HELPDIR C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\
HKEY_CLASSES_ROOT\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}\1.0 CheckProduct2Lib
HKEY_CLASSES_ROOT\TypeLib\{2BC32EF8-BB73-4099-BB2E-0F2951B3E276}
HKEY_CLASSES_ROOT\TypeLib\{2BC32EF8-BB73-4099-BB2E-0F2951B3E276}\1.0\0\win32 C:\Programme\WinAntiVirus Pro 2006\IEFWBHO.dll
HKEY_CLASSES_ROOT\TypeLib\{2BC32EF8-BB73-4099-BB2E-0F2951B3E276}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\TypeLib\{2BC32EF8-BB73-4099-BB2E-0F2951B3E276}\1.0\HELPDIR C:\Programme\WinAntiVirus Pro 2006\
HKEY_CLASSES_ROOT\TypeLib\{2BC32EF8-BB73-4099-BB2E-0F2951B3E276}\1.0 IEFWBHO 2.0 Type Library
HKEY_CLASSES_ROOT\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9}
HKEY_CLASSES_ROOT\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9}\1.0\0\win32 C:\Programme\WinAntiVirus Pro 2006\winpgi.dll
HKEY_CLASSES_ROOT\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9}\1.0\HELPDIR C:\Programme\WinAntiVirus Pro 2006\
HKEY_CLASSES_ROOT\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9}\1.0 PGIntegrator 1.0 Type Library
HKEY_CLASSES_ROOT\TypeLib\{732B6533-7F78-4C47-9C01-2979BA0829B9}
HKEY_CLASSES_ROOT\TypeLib\{732B6533-7F78-4C47-9C01-2979BA0829B9}\1.0\0\win32 C:\Programme\WinAntiVirus Pro 2006\WAV6COM.dll
HKEY_CLASSES_ROOT\TypeLib\{732B6533-7F78-4C47-9C01-2979BA0829B9}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\TypeLib\{732B6533-7F78-4C47-9C01-2979BA0829B9}\1.0\HELPDIR C:\Programme\WinAntiVirus Pro 2006\
HKEY_CLASSES_ROOT\TypeLib\{732B6533-7F78-4C47-9C01-2979BA0829B9}\1.0 WAV6COM 1.0 Type Library
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B5141620-C2B2-4D95-9F0F-134D99C87AB0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WA6P_is1 NoRepair 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WA6P_is1 NoModify 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WA6P_is1 URLUpdateInfo http://www.winsoftware.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WA6P_is1 HelpLink http://www.winsoftware.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WA6P_is1 URLInfoAbout http://www.winsoftware.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WA6P_is1 Publisher WinSoftware, Ltd.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WA6P_is1 Inno Setup: Icon Group WinAntiVirus Pro 2006
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006\Settings EnableIEBlockSite 2
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006\Settings VSScan 0
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006\Settings VirusShield 1
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006\Settings MailProtect 1
HKEY_CLASSES_ROOT\clsid\{B5141620-C2B2-4D95-9F0F-134D99C87AB0}
HKEY_CLASSES_ROOT\clsid\{B5141620-C2B2-4D95-9F0F-134D99C87AB0}\InprocServer32 C:\Programme\WinAntiVirus Pro 2006\IEFWBHO.dll
HKEY_CLASSES_ROOT\clsid\{B5141620-C2B2-4D95-9F0F-134D99C87AB0}\InprocServer32 ThreadingModel apartment
HKEY_CLASSES_ROOT\clsid\{B5141620-C2B2-4D95-9F0F-134D99C87AB0}\ProgID IEFWBHO.IEFW.2
HKEY_CLASSES_ROOT\clsid\{B5141620-C2B2-4D95-9F0F-134D99C87AB0}\TypeLib {2BC32EF8-BB73-4099-BB2E-0F2951B3E276}
HKEY_CLASSES_ROOT\clsid\{B5141620-C2B2-4D95-9F0F-134D99C87AB0}\VersionIndependentProgID IEFWBHO.IEFW
HKEY_CLASSES_ROOT\clsid\{B5141620-C2B2-4D95-9F0F-134D99C87AB0} IEFW Object
HKEY_CLASSES_ROOT\clsid\{B5141620-C2B2-4D95-9F0F-134D99C87AB0} AppID
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk\Security Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk\Enum 0 Root\LEGACY_VSPF_HK\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk\Enum Count 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk\Enum NextInstance 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk Type 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk Start 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk ErrorControl 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk Tag 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk ImagePath \??\C:\WINDOWS\system32\drivers\vspf_hk5.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk DisplayName vspf_hk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk Group Streams Drivers
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf\Security Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf\Enum 0 Root\LEGACY_VSPF\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf\Enum Count 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf\Enum NextInstance 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf Type 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf Start 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf ErrorControl 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf Tag 9
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf ImagePath \??\C:\WINDOWS\system32\drivers\vspf5.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf DisplayName vspf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf Group PNP_TDI
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf DependOnService tcpip
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf DependOnGroup
HKEY_LOCAL_MACHINE\Software\WinAntiVirus Pro 2006
HKEY_LOCAL_MACHINE\Software\WinAntiVirus Pro 2006 EulUWA6PU_0001_N73M1804 1
HKEY_LOCAL_MACHINE\Software\WinAntiVirus Pro 2006 ProductCode UWA6PU-0001-8882-7773
HKEY_LOCAL_MACHINE\Software\WinAntiVirus Pro 2006 InstallPath C:\Programme\WinAntiVirus Pro 2006\
HKEY_LOCAL_MACHINE\Software\WinAntiVirus Pro 2006 Abbr UWA6PU
HKEY_CURRENT_USER\software\winantivirus pro 2006
HKEY_CURRENT_USER\software\winantivirus pro 2006\Settings MailProtect 1
HKEY_CURRENT_USER\software\winantivirus pro 2006\Settings VirusShield 1
HKEY_CURRENT_USER\software\winantivirus pro 2006\Settings VSScan 0
HKEY_CURRENT_USER\software\winantivirus pro 2006\Settings EnableIEBlockSite 2

Trojan.WinlogonHook.Delf.A Trojan more information...
Details: WinlogonHook.Delf.A is a backdoor trojan that gives an attacker the ability to control the infected machine without the user's knowledge.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Data 94905398
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR LSTV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR BSTV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR MSLIST
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Brnd 1785
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SSTV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SCLIST
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SSLIST
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR BPTV 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR PSTV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR OCCUR 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Rid 141
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR LID 34

So, ich habs geschafft. einmal bin ich durch....ich lass ihn grad ein 2. mal durchlaufen...
ich wusste nicht ob du den report brauchst aber ich hab ihn trotzdem mal geposted....

angie85 · 17.08.2006, 22:49

ich glaub meine englischkenntnisse reichen dafür nicht aus...versteh da nämlich nicht was ich zu tun hab...
counterspy ist durch und zeigt nichts mehr an!

Wildone · 17.08.2006, 22:55

Hallo,
dann versuchen wir es mal mit einer deutschen Anleitung. Nur dieser Teil der anleitung ist relevant:

Zitat:

* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

Falls es ein Logfile gibt immer her damit, falls nicht poste danach wieder ein Log von Silentrunners.

Grüße Wildone

angie85 · 17.08.2006, 23:10

vor die Malware-Einträge Häkchen setzen

welche sind das?

TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE!

Plagegeister aller Art und deren Bekämpfung: TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE!