"Antivir XP 2008" und die Folgen

blueshirtxxl · 28.07.2008, 22:20

Hallo und guten Abend!

Vorgestern hatte ich mir den Trojaner TR/Fakealert.AG eingefangen, und wie an anderer Stelle schon bemerkt ist dieser recht hartnäckig. Jetzt ist er wahrscheilich weg. Habe dafür Hijack eingesetzt um einzugrenzen, dann manuell gelöscht was ich konnte, muss aber doch wohl den einen oder anderen Fehler gemacht haben.
Hier meine Fragen:
1. Unten im Feld mit Datum und Uhr, steht immer noch Virus Alert, das möchte ich wieder weg haben, aber wie?
2. Auf dem Arbeitsplatz erscheinen die beiden Harddisks C: und D: nicht. Ich würde sie gerne wieder sehen.
3. Im Startordner fehlen Systemsteuerung und Hilfe& support, hätte ich gerne wieder

Wahrscheinlich habe ich die fehlenden Teile aus der Registry entfernt, als mir Search und destroy sagte es würde die Fehler in der Registry beheben, behoben ist in diesem Fall wohl gelöscht. Jetzt weiß ich nicht mehr welche Strings das waren.
Eine Systemwiederherstellung ist nicht möglich, da der zuletzt wirksame Wiederherstellungpunkt der ist an dem das " virus Alert" -Zeugs auftaucht. Wenn weitere Infos benötigt werden liefere ich gerne nach.
System: Windows XP Pro SP3,

mfg
blueshirtxxl

myrtille · 28.07.2008, 23:14

Hi,

lade dir bitte Smitfraudfix herunter und führe die dort angeführten Schritte unter Reinigung aus.
Poste das erstellte Log dann hier.

Lade dir anschließend Malwarebytes herunter und lasse alle Funde löschen. Poste auch das Log danach hier.

lg myrtille

blueshirtxxl · 29.07.2008, 01:53

Hallo und guten Tag!
werde ich machen sobald ich zu Hause bin, bin im Moment am Arbeitsplatz, habe hier keinen Zugriff auf Datenträger.
MFG
Blueshirtxxl

blueshirtxxl · 29.07.2008, 16:21

Hir das LOG von Smitfraudfix:

Code:

ATTFilter

 SmitFraudFix v2.332

Scan done at 17:12:22,23, 29.07.2008
Run from C:\Dokumente und Einstellungen\XXXXXX\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1       localhost
127.0.0.1       localhost
127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

Description: VMware Virtual Ethernet Adapter for VMnet1
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{11089726-0FE3-4936-AE3B-6B5B1760F057}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{BD1039D1-4C73-40F4-89BC-105A41C6443D}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{11089726-0FE3-4936-AE3B-6B5B1760F057}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BD1039D1-4C73-40F4-89BC-105A41C6443D}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

ich hoffe das ist das was Du meintest?

myrtille · 29.07.2008, 17:28

Wie gehts dem Rechner? Was macht Malwarebytes?

Das Log ist nicht aus dem abgesicherten Modus, hast du das Log nach der Reinigung neuerstellt?

lg myrtille

blueshirtxxl · 29.07.2008, 18:31

Ja , nach der Reinigung erneut log erstellt, aus Dummheit, wahrscheinlich.
Malwarebites läuft noch. Habe hier wahrscheinlich auch einen Fehler gemacht, finde das Log nicht wieder, deshalb erneuter Lauf, sorry
Rechner Zeigt allerdings wieder die Harddisks wie sie sind, VirusAlert in der Symbolleiste ist verschwunden, den Desktop kann ich wieder so einrichten wie es war. vorerst schonmal extra viele Dankesgrüße für die Hilfe. Beim Scan der Malwarebytes fanden sich 4 Infizierte Dateien, aber ich habe ja das Log verloren.
Gruß
Blueshirtxxl

blueshirtxxl · 29.07.2008, 18:34

hier die logdatei von Malwarebytes:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.23
Datenbank Version: 1007
Windows 5.1.2600 Service Pack 3, v.3311

19:31:43 29.07.2008
mbam-log-7-29-2008 (19-31-35).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 49400
Laufzeit: 8 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 22
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhc321j0e3dn (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\rhc321j0e3dn (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{2a9805a1-fe72-4b17-98e7-958312ea56aa} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{951ccafd-23f9-4013-9a5d-96b970052291} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{ad730a0b-b21e-421b-abe3-1b6563d2cee7} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\fdkowvbp.bgow (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\fdkowvbp.toolbar.1 (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\eqvwamkl (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Packages (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Packages (Rogue.Multiple) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\eovp.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Fonts\G_Fonts.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\mndosnet.dll (Trojan.vundo) -> No action taken.
C:\WINDOWS\grswptdl.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\nfavxwdbsxb.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\blphc721j0e3dn.scr (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\phc721j0e3dn.bmp (Trojan.FakeAlert) -> No action taken.

myrtille · 29.07.2008, 19:03

Hi,
ja das Smitfraudfixlog war dann im großen und ganzen nutzlos

Aber Hauptziel war auch erstmal die Symptome zu beheben, um den Rechner korrekt nutzen zu können.

Ich hätte gern noch ein Log mit DSS, um zu sehen was auf dem Rechner noch zu finden ist:

Lade dir DSS
Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
Führe während DSS arbeitet bitte keine anderen Aktionen durch
Am Ende öffnen sich 2 Datein main.txt und extra.txt
Poste den Inhalt beider Dateien hier

lg myrtille

blueshirtxxl · 29.07.2008, 22:23

Tut mir leid, habe einen großen Fehler gemacht, im Übereifer vergessen im abgesicherten Modus laufen zu lassen, hier das Log von Smtfraudfix im abgesicherten Modus, das von Malwarebytes kann ich erst morgen senden, musste abbrechen und zur Arbeit....

Code:

ATTFilter

SmitFraudFix v2.332

Scan done at 19:50:43,26, 29.07.2008
Run from P:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1       localhost
127.0.0.1       localhost
127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

Description: VMware Virtual Ethernet Adapter for VMnet1
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{11089726-0FE3-4936-AE3B-6B5B1760F057}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{BD1039D1-4C73-40F4-89BC-105A41C6443D}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{11089726-0FE3-4936-AE3B-6B5B1760F057}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BD1039D1-4C73-40F4-89BC-105A41C6443D}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

blueshirtxxl · 29.07.2008, 22:26

Noch ne Frage....soll Malewarebytes ebenfalls im abgesicherten Modus laufen?

myrtille · 29.07.2008, 22:41

Hi,
Malwarebytes sollte muss aber nicht im abgesicherten Modus laufen. Der abgesicherte Modus wird empfohlen, weil die meisten Viren schlechter geschützt sind.

lg myrtille

blueshirtxxl · 29.07.2008, 22:45

Danke für die schnelle Antwort, morgen dann mehr.

blueshirtxxl · 31.07.2008, 17:20

Hallo und guten Tag.
Ich hoffe, alles richtig gemacht zu haben. Hier mein Malwarbites log nach der Reinigung im abgesicherten Modus.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.23
Datenbank Version: 1007
Windows 5.1.2600 Service Pack 3, v.3311

17:57:59 31.07.2008
mbam-log-7-31-2008 (17-57-59).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|I:\|J:\|K:\|L:\|M:\|N:\|O:\|)
Durchsuchte Objekte: 233012
Laufzeit: 53 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 22
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhc321j0e3dn (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhc321j0e3dn (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{2a9805a1-fe72-4b17-98e7-958312ea56aa} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{951ccafd-23f9-4013-9a5d-96b970052291} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{ad730a0b-b21e-421b-abe3-1b6563d2cee7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\fdkowvbp.bgow (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\fdkowvbp.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\eqvwamkl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\System Volume Information\_restore{CAB8D212-1324-402F-B33B-062428793756}\RP628\A0194203.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CAB8D212-1324-402F-B33B-062428793756}\RP628\A0194204.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\eovp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
K:\System Volume Information\_restore{CAB8D212-1324-402F-B33B-062428793756}\RP628\A0194210.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\G_Fonts.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mndosnet.dll (Trojan.vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\grswptdl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\nfavxwdbsxb.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphc721j0e3dn.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phc721j0e3dn.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

myrtille · 31.07.2008, 17:34

Hi,

das sieht recht gut aus, erstell bitte noch ein Log mit DSS:

Lade dir DSS
Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
Führe während DSS arbeitet bitte keine anderen Aktionen durch
Am Ende öffnen sich 2 Datein main.txt und extra.txt
Poste den Inhalt beider Dateien hier

lg myrtille

blueshirtxxl · 31.07.2008, 18:28

DSS ergebnisse hier:

Code:

ATTFilter

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 3.0
Architecture: X86; Language: German

CPU 0: AMD Duron(tm) processor
Percentage of Memory in Use: 39%
Physical Memory (total/avail): 1023.48 MiB / 623.73 MiB
Pagefile Memory (total/avail): 2462.1 MiB / 2020.63 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1929.39 MiB

C: is Fixed (NTFS) - 12.04 GiB total, 0.75 GiB free. 
D: is Fixed (NTFS) - 49.03 GiB total, 1.67 GiB free. 
E: is Fixed (NTFS) - 6.19 GiB total, 4.57 GiB free. 
F: is Fixed (FAT32) - 18.38 GiB total, 12.96 GiB free. 
H: is Removable (No Media)
I: is Removable (FAT32)
J: is Removable (No Media)
K: is Fixed (NTFS) - 62.78 GiB total, 36.26 GiB free. 
L: is CDROM (No Media)
M: is CDROM (No Media)
N: is Removable (No Media)
O: is Removable (FAT32)

\\.\PHYSICALDRIVE1 - SAMSUNG SV1203N - 111.81 GiB - 2 partitions
  \PARTITION0 - Installierbares Dateisystem - 49.03 GiB - D:
  \PARTITION1 - Installierbares Dateisystem - 62.78 GiB - K:

\\.\PHYSICALDRIVE0 - WDC WD400EB-00CPF0 - 37.27 GiB - 3 partitions
  \PARTITION0 (bootable) - Installierbares Dateisystem - 12.04 GiB - C:
  \PARTITION1 - Erweitert mit Int 13 (erweitert) - 25.23 GiB - E: - F:

\\.\PHYSICALDRIVE6 - EXTREME EXTREMEMORY USB Device - 949.15 MiB - 1 partition
  \PARTITION0 (bootable) - Unknown - 953.5 MiB - O:

\\.\PHYSICALDRIVE3 - Generic USB CF Reader USB Device - 1945.37 MiB - 1 partition
  \PARTITION0 (bootable) - Unknown - 1945.59 MiB - I:

\\.\PHYSICALDRIVE5 - Generic USB MS Reader USB Device

\\.\PHYSICALDRIVE2 - Generic USB SD Reader USB Device

\\.\PHYSICALDRIVE4 - Generic USB SM Reader USB Device



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten
CLASSPATH=.;C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=KORHAN-D6C586D3
ComSpec=C:\WINDOWS\system32\cmd.exe
DEVMGR_SHOW_DETAILS=0
DEVMGR_SHOW_NONPRESENT_DEVICES=0
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Korhan
LOGONSERVER=\\KORHAN-D6C586D3
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\QuickTime\QTSystem\;C:\Programme\ATI Technologies\ATI.ACE\;C:\Programme\Gemeinsame Dateien\Ulead Systems\MPEG;C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD;C:\BITWARE\;C:\Programme\Gemeinsame Dateien\Nero\Lib\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 7 Stepping 1, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0701
ProgramFiles=C:\Programme
PROMPT=$P$G
QTJAVA=C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\Korhan\LOKALE~1\Temp
TMP=C:\DOKUME~1\Korhan\LOKALE~1\Temp
USERDOMAIN=KORHAN-D6C586D3
USERNAME=Korhan
USERPROFILE=C:\Dokumente und Einstellungen\Korhan
windir=C:\WINDOWS
__COMPAT_LAYER=EnableNXShowUI 


-- User Profiles ---------------------------------------------------------------

Korhan (admin)
Zelos
Üfeyra


-- Add/Remove Programs ---------------------------------------------------------

 --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
 --> C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
 --> C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
 --> C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
 --> C:\WINDOWS\UNNeroVision.exe /UNINSTALL
 --> C:\WINDOWS\UNRecode.exe /UNINSTALL
 --> K:\Proggys\Alles Hilfsprogramme für PC und Audio\Nero 8\\nero\uninstall\UNNERO.exe /UNINSTALL
 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
20/20 v2.2 --> G:\PROGRA~1\BYLIGHT\2020\UNWISE.EXE G:\PROGRA~1\BYLIGHT\2020\INSTALL.LOG
ACDSee Pro --> MsiExec.exe /I{71E42058-1C26-4B3B-ACEE-9583AD5F20B8}
ACE Mega CoDecS Pack --> "K:\ACE Mega CoDecS Pack\unins000.exe"
Ad-Aware 2007 --> MsiExec.exe /X{E31C348B-63A9-4CBF-8D7F-D932ABB63244}
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) --> MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Color Common Settings --> C:\Programme\Gemeinsame Dateien\Adobe\Installers\6c8e2cb4fd241c55406016127a6ab2e\Setup.exe
Adobe Color Common Settings --> MsiExec.exe /I{6D4AC5A4-4CF9-4F90-8111-B9B53CE257BF}
Adobe ExtendScript Toolkit 2 --> C:\Programme\Gemeinsame Dateien\Adobe\Installers\5bc0f8414ec36c555a3e7e5ec2e225e\Setup.exe
Adobe ExtendScript Toolkit 2 --> MsiExec.exe /I{1BCEA516-B4C5-4B2D-BFA0-AB7910BAD862}
Adobe Flash Player 9 ActiveX --> C:\WINDOWS\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Adobe Setup --> MsiExec.exe /I{64C1FA9A-FA94-4B6E-B3E4-8573738E4AD1}
Adobe Setup --> MsiExec.exe /I{D504303A-717D-414C-BA9F-FE01093E2EF8}
Amazonia --> MsiExec.exe /I{688F5419-B149-4936-B228-E4FB729D2967}
ATI - Software Uninstall Utility --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center --> MsiExec.exe /I{F85B3B0A-E302-4B67-9220-6B57F075B311}
ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
AVIcodec (remove only) --> "S:\Software  Freeware\AVIcodec\uninst.exe"
Avira AntiVir Personal - Free Antivirus --> K:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
AXIS Media Control --> rundll32 "C:\Programme\Axis Communications\AXIS Media Control\AxisMediaControl.dll",UninstallMe
BeFaster --> "K:\Proggys\BeFaster\uninstall.exe"
Bejeweled 2 Deluxe --> "J:\bejeweld\Bejeweled 2 Deluxe\GameInstaller.exe" --uninstall UnInstall.log
Biet-O-Matic v2.0.29 --> C:\PROGRA~1\BIET-O~1\UNWISE.EXE C:\PROGRA~1\BIET-O~1\Install.log
Blood Ties --> MsiExec.exe /I{4707EED9-330D-4D40-8C33-091700F6D07D}
Browser Mouse Browser Mouse 1.0 --> C:\Programme\Browser Mouse\Browser Mouse\1.0\unins000.EXE
Bursting Bubbles Deluxe 3.0 --> C:\WINDOWS\iun6002.exe "N:\Programme\irunin.ini"
Canon ScanGear Toolbox CS 2.2 --> C:\WINDOWS\IsUn0407.exe -f"C:\Programme\Canon\ScanGear Toolbox CS\Uninst.isu" -c"C:\Programme\Canon\ScanGear Toolbox CS\uninst.dll"
Cash Out --> MsiExec.exe /I{BCC0E355-540B-445C-B268-BCC38F920172}
CCleaner (remove only) --> "K:\Proggys\CCleaner\uninst.exe"
ClearProg 1.4.2 Beta 13 --> K:\Proggys\ClearProg\Uninstall.exe
Compatibility Pack for the 2007 Office system --> MsiExec.exe /X{90120000-0020-0409-0000-0000000FF1CE}
Cubis Gold 2 --> "I:\Cubis Gold 2\ReflexiveArcade\unins000.exe"
CUEcards 2000 --> K:\Proggys\cue\uninstall.exe
Cup Fever v6.01 --> "N:\Cup Fever\unins000.exe"
DAMN NFO Viewer 2.10.0031 RC3 --> MsiExec.exe /I{DA5E6A2D-DEAA-4152-A43A-FDBDE29AA724}
DivX Player --> C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
EVEREST Home Edition v2.20 --> "K:\Proggys\EVEREST Home Edition\unins000.exe"
FireTune --> C:\WINDOWS\iun6002.exe "C:\Programme\FireTune\irunin.ini"
Flowers Story Fairy Quest (remove only) --> "K:\Proggys\alles Spiele\iWin.com\Uninstall.exe"
Flowery Vale --> "C:\Dokumente und Einstellungen\All Users\Flowery Vale\ReflexiveArcade\unins000.exe"
FLV Player 1.3.3 --> "K:\Proggys\FLVPlayer\uninstall.exe"
Focus Magic 3.02 --> "I:\Focus Magic\unins000.exe"
GameHouse Super Games AIO® --> "K:\Proggys\alles Spiele\GameHouse\unins000.exe"
GMail Drive Shell Extension --> rundll32.exe C:\WINDOWS\system32\ShellExt\GMailFS.dll,Uninstall C:\WINDOWS\system32\ShellExt\GMailFS.inf
Google Earth --> MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
Google Earth Pro --> MsiExec.exe /X{9578C0CD-8108-4379-9026-4601F59859A0}
Google SketchUp --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E1423608-F529-40A1-93CA-C7F396F30DF0}\setup.exe" -l0x9 
Google Updater --> "C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall
Google Video Player --> "K:\Proggys\google\Google Video Player\Uninstall.exe"
HijackThis 2.0.2 --> "K:\Programme\Hijackthis\HijackThis.exe" /uninstall
hp deskjet 3500 --> msiexec /x{C7EC0699-D82C-4451-B701-C98C330D43AF}
Incadia --> J:\INCADIA\UNWISE.EXE /U J:\INCADIA\INSTALL.LOG
Incredible Ink --> J:\INCRED~1\UNWISE.EXE /U J:\INCRED~1\INSTALL.LOG
Invadazoid --> J:\GAMEHO~1\INVADA~1\UNWISE.EXE /U J:\GAMEHO~1\INVADA~1\INSTALL.LOG
J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
Java(TM) 6 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Jewel Quest --> J:\JEWELQ~1\UNWISE.EXE /U J:\JEWELQ~1\INSTALL.LOG
JINNI ZEALA 1.2.2 --> MsiExec.exe /I{7D08F20F-EF4E-4035-8027-854F05F1C1D3}
Karu --> J:\GAMEHO~1\KARU\UNWISE.EXE /U J:\GAMEHO~1\KARU\INSTALL.LOG
Lame ACM MP3 Codec --> C:\WINDOWS\system32\rundll32.exe setupapi,InstallHinfSection Remove_LameMP3 132 C:\WINDOWS\INF\LameACM.inf
Laser Dolphin --> J:\Laser Dolphin\uninst.exe
Legend of Aladdin --> J:\LEGEND~1\UNWISE.EXE /U J:\LEGEND~1\INSTALL.LOG
Lode Runner 1.5 --> "H:\Lode Runner\unins000.exe"
LudoRace --> I:\ludorace\uninstall.exe
Macromedia Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Malwarebytes' Anti-Malware --> "K:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Data Access Components KB870669 --> C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf
Microsoft Office XP Professional mit FrontPage --> MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
MONSTER FAIR 1.2.0 --> MsiExec.exe /I{13C82DCE-D929-485B-8053-2E90BD2BD6FE}
Mozilla Firefox (3.0.1) --> E:\Mozilla Firefox\uninstall\helper.exe
MSN Messenger 7.5 --> MsiExec.exe /I{0D93041A-03EC-11DA-BFBD-00065BBDC0B5}
Multimedia Keyboard Driver --> C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{31C63A8A-D9AB-4300-828B-86B41F59FAE1} 
Nero 8 --> MsiExec.exe /X{B944FA21-81AF-4A77-8328-CE4F4CC51031}
neroxml --> MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NTREGOPT 1.1j --> "K:\Proggys\Alles Hilfsprogramme für PC und Audio\NT Registry Optimizer\unins000.exe"
Opera 9.51 --> MsiExec.exe /X{179624B1-2683-45ED-965A-B72189EB5820}
Pando --> MsiExec.exe /I{C0B0FA55-D4E9-4374-9871-BBFBF2AEF0D1}
PerfectDisk --> MsiExec.exe /I{212F5777-1190-4DEF-8E4D-6B2F313B45E7}
Phantasia --> I:\Phantasia\ReflexiveArcade\unins000.exe
Phantasia 2 1.02 --> K:\Proggys\alles Spiele\Phantasia 2\uninst.exe
Philips SPC 200NC PC Camera --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2A2646FB-7BAC-451B-BF90-4889C4429C5E}\setup.exe" -l0x7 
Picasa 2 --> "C:\Programme\Picasa2\Uninstall.exe"
Pirates Plunder --> MsiExec.exe /I{5C2878E2-99ED-48AF-B756-BB1F901A5811}
Porrasturvat - Stair Dismount --> G:\Porrast\Porrasturvat - Stair Dismount\uninstall.exe
QuickTime --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{C21D5524-A970-42FA-AC8A-59B8C7CDCA31} /l1031 
RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Reindeer Reels v6.01 --> "H:\Reindeer Reels\unins000.exe"
Rhombis --> MsiExec.exe /I{95CB2786-73F5-4072-94F4-591FCD5005BF}
Rocket.Time --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{78FE57A5-9645-40AF-A95C-8FAC37CFDD33}\setup.exe" -l0x9  -removeonly
Skype™ 3.8 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
SpeedFan (remove only) --> "K:\Proggys\Alles Hilfsprogramme für PC und Audio\SpeedFan\uninstall.exe"
Spybot - Search & Destroy 1.4 --> "K:\Proggys\Spybot - Search & Destroy\unins000.exe"
Story Of Fairy Place --> MsiExec.exe /I{C8D460F9-2C99-4AF8-A981-52138C041764}
Tetris4000 --> H:\tetris\uninstal.exe
TreeSize Personal 5.1 --> "K:\Proggys\TreeSize Personal\unins000.exe"
TuneUp Utilities 2008 --> MsiExec.exe /I{5888428E-699C-4E71-BF71-94EE06B497DA}
Turbo Lister 2 --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{69640730-B830-4C24-BB5C-222DA1260548} 
Turtix --> G:\Turtix\Turtix\uninstal.exe
Turtle Odyssey 2 --> "I:\Turtle Odyssey 2\unins000.exe"
Tux Paint 0.9.15 --> "K:\Proggys\TuxPaint\unins000.exe"
Tux Paint Stamps 2005-11-25 --> "K:\Proggys\TuxPaint\unins001.exe"
Ulead Drop Spot 1.0 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3BCC5640-5360-11D4-A44A-0000E86D2305}\setup.exe" -l0x7 
Ulead Photo Explorer 8.0 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D271DAE0-8D68-4C97-8356-A126D48A1D8C}\setup.exe" -l0x7 
Ulead PhotoImpact XL --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0DDDE141-9696-4E33-AB82-EF398169D7E5}\setup.exe" -l0x7 
VCRedistSetup --> MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
Visitors Pinball --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F181AC06-9A40-11D6-9A6E-0050BF7EC58C}\setup.exe" 
Visual Pinball --> MsiExec.exe /I{B36C4994-A563-4339-8754-CCCE51314A4C}
VMware Player --> MsiExec.exe /I{31799B14-B3E7-4522-B393-6206C03EC5D3}
VoptXP v7.22 --> K:\Proggys\VOPTXP~1\UNWISE.EXE K:\Proggys\VOPTXP~1\INSTALL.LOG
WAV to MP3 --> K:\PROGGYS\Uninstal.exe
Winamp --> "E:\Winamp\UninstWA.exe"
Winamp Remote --> "C:\Programme\Winamp Remote\uninstall.exe"
Windows Live Anmelde-Assistent --> MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
Windows Live installer --> MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows Live Messenger --> MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
Windows Live Safety Scanner --> RunDll32.exe "C:\Programme\Windows Live Safety Center\wlscCore.dll",UninstallFunction WLSC_SCANNER_PRODUCT
Windows XP Service Pack 3 --> "K:\$ntservicepackuninstall$\spuninst\spuninst.exe"
WinRAR archiver --> C:\Programme\WinRAR\uninstall.exe
WinZip --> "K:\Proggys\WinZip\WINZIP32.EXE" /uninstall
Yahoo! Messenger --> C:\PROGRA~1\Yahoo!\MESSEN~1\UNWISE.EXE /U C:\PROGRA~1\Yahoo!\MESSEN~1\INSTALL.LOG
YSIGet --> C:\Programme\YSIGet\uninstall.exe


-- Application Event Log -------------------------------------------------------

Event Record #/Type30076 / Success
Event Submitted/Written: 07/31/2008 06:23:46 PM
Event ID/Source: 12001 / usnjsvc
Event Description:
The Messenger Sharing USN Journal Reader service started successfully.

Event Record #/Type30074 / Warning
Event Submitted/Written: 07/31/2008 06:10:56 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Spy.Gampass.CVK:\System Volume Information\_restore{CAB8D212-1324-402F-B33B-062428793756}\RP628\A0194202.exe

Event Record #/Type30068 / Warning
Event Submitted/Written: 07/31/2008 06:03:58 PM
Event ID/Source: 32068 / Microsoft Fax
Event Description:
Die ausgehende Verteilerregel ist nicht gültig, weil kein gültiges Gerät gefunden werden kann. Ausgehende Faxe, die diese Regel verwenden, werden nicht weitergeleitet. Stellen Sie sicher, dass das angezielte Gerät bzw. die angezielten Geräte angeschlossen, korrekt installiert und angeschaltet sind. Stellen Sie außerdem sicher, dass die Gruppe korrekt konfiguriert ist, falls die Weiterleitung an eine Gruppe von Geräten erfolgen soll.
Landes-/Regionskennzahl: "*"
Ortskennzahl: "*"

Event Record #/Type30067 / Warning
Event Submitted/Written: 07/31/2008 06:03:58 PM
Event ID/Source: 32026 / Microsoft Fax
Event Description:
Fehler beim Initialisieren der zugewiesenen Faxgeräte (virtuell oder TAPI) durch den Faxdienst.
Es können keine Faxe gesendet werden, bis ein Faxgerät installiert ist.

Event Record #/Type30058 / Warning
Event Submitted/Written: 07/29/2008 09:57:41 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Spy.Gampass.CVK:\Proggys\alles Spiele\blood ties\Uninstall.exe



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type67916 / Error
Event Submitted/Written: 07/31/2008 06:12:06 PM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Der Dienst "FileInfo" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%2

Event Record #/Type67903 / Error
Event Submitted/Written: 07/31/2008 06:04:09 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1058" aufgetreten, als der Dienst "upnphost" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{204810B9-73B2-11D4-BF42-00B0D0118B56}

Event Record #/Type67895 / Error
Event Submitted/Written: 07/31/2008 06:03:57 PM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Der Dienst "FanSpeedNT Service" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%2

Event Record #/Type67894 / Error
Event Submitted/Written: 07/31/2008 06:03:56 PM
Event ID/Source: 2 / VMnetDHCP
Event Description:
Can't open C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware\vmnetdhcp.conf: No such file or directory

Event Record #/Type67885 / Error
Event Submitted/Written: 07/31/2008 05:59:08 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{1BE1F766-5536-11D1-B726-00C04FB926AF}



-- End of Deckard's System Scanner: finished at 2008-07-31 19:22:30 ------------

28.07.2008, 23:14	#2
myrtille /// TB-Ausbilder	"Antivir XP 2008" und die Folgen Hi, lade dir bitte Smitfraudfix herunter und führe die dort angeführten Schritte unter Reinigung aus. Poste das erstellte Log dann hier. Lade dir anschließend Malwarebytes herunter und lasse alle Funde löschen. Poste auch das Log danach hier. lg myrtille __________________ __________________

"Antivir XP 2008" und die Folgen

Plagegeister aller Art und deren Bekämpfung: "Antivir XP 2008" und die Folgen