so also hab den ersten punkt wie beschrieben gemacht hoff ich mal

so nun hier:

ComboFix 09-01-13.04 - hubert 2009-01-14 23:37:28.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2009.1417 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\hubert\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
AV: eTrust ITM *On-access scanning disabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\hubert\Anwendungsdaten\02000000f7c03164509C.manifest
c:\dokumente und einstellungen\hubert\Anwendungsdaten\02000000f7c03164509O.manifest
c:\dokumente und einstellungen\hubert\Anwendungsdaten\02000000f7c03164509P.manifest
c:\dokumente und einstellungen\hubert\Anwendungsdaten\02000000f7c03164509S.manifest
c:\windows\GnuHashes.ini
c:\windows\system32\GroupPolicy000.dat
c:\windows\system32\GroupPolicyManifest
c:\windows\system32\GroupPolicyManifest\23.music.mp3.kwd
c:\windows\system32\GroupPolicyManifest\24.crack.zip.kwd
c:\windows\system32\GroupPolicyManifest\25.video.zip.kwd
c:\windows\system32\GroupPolicyManifest\26.setup.zip.kwd
c:\windows\system32\GroupPolicyManifest\27.unpack.zip.kwd
c:\windows\system32\GroupPolicyManifest\28.keygen.zip.kwd
c:\windows\system32\GroupPolicyManifest\29.serial.zip.kwd
c:\windows\system32\GroupPolicyManifest\30.mpgvideo.mpg.kwd

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-14 bis 2009-01-14 ))))))))))))))))))))))))))))))
.

2009-01-14 22:28 . 2009-01-14 22:28 <DIR> d-------- c:\programme\Trend Micro
2009-01-14 01:13 . 2009-01-14 01:14 <DIR> d-------- c:\programme\CCleaner
2009-01-13 23:27 . 2009-01-13 23:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-13 22:56 . 2009-01-13 22:56 <DIR> d-------- c:\programme\Avira
2009-01-13 01:30 . 2009-01-13 01:30 <DIR> d-------- c:\windows\system32\Kaspersky Lab
2009-01-13 01:30 . 2009-01-13 01:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-01-09 22:59 . 2009-01-09 23:04 <DIR> d-------- c:\programme\phase5
2009-01-09 22:59 . 2009-01-09 22:59 <DIR> d-------- c:\dokumente und einstellungen\hubert\Anwendungsdaten\Systemberatung Schommer
2009-01-07 21:46 . 2009-01-07 21:46 0 --a------ c:\windows\system32\11.tmp
2009-01-05 12:38 . 2009-01-05 12:38 0 --a------ c:\windows\system32\A.tmp
2009-01-01 11:11 . 2009-01-01 11:11 0 --a------ c:\windows\system32\47.tmp
2009-01-01 11:11 . 2009-01-01 11:11 0 --a------ c:\windows\system32\46.tmp
2008-12-30 23:22 . 2009-01-14 23:36 135,168 --a------ c:\windows\system32\dskquoui32.dll
2008-12-30 23:22 . 2009-01-14 00:43 135,168 --a------ C:\ARKE.tmp
2008-12-30 10:45 . 2008-12-30 10:45 <DIR> d-------- c:\windows\Sun
2008-12-29 22:19 . 2009-01-13 23:16 <DIR> d-------- c:\dokumente und einstellungen\hubert\Anwendungsdaten\LimeWire
2008-12-28 23:24 . 2008-12-28 23:24 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-28 23:24 . 2008-12-28 23:24 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-28 23:23 . 2008-12-28 23:23 <DIR> d-------- c:\programme\Java
2008-12-28 22:42 . 2008-12-28 22:43 <DIR> d-------- c:\programme\LimeWire
2008-12-28 22:34 . 2008-12-28 22:34 <DIR> d-------- c:\dokumente und einstellungen\hubert\Anwendungsdaten\AdobeUM
2008-12-28 15:29 . 2008-12-28 15:29 <DIR> d--h----- c:\windows\$hf_mig$

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-28 14:23 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-12-03 00:13 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2008-12-01 21:04 --------- d-----w c:\programme\Gemeinsame Dateien\KODAK
2008-12-01 21:03 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-01 21:03 --------- d-----w c:\programme\Kodak
2008-11-27 22:36 --------- d-----w c:\programme\Real
2008-11-27 22:36 --------- d-----w c:\programme\Gemeinsame Dateien\xing shared
2008-11-27 22:36 --------- d-----w c:\programme\Gemeinsame Dateien\Real
2008-11-27 22:03 --------- d-----w c:\dokumente und einstellungen\hubert\Anwendungsdaten\Apple Computer
2008-11-27 22:02 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-11-27 22:02 --------- d-----w c:\programme\Apple Software Update
2008-11-27 22:02 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-11-27 22:02 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-11-27 21:35 --------- d-----w c:\programme\QuickTime
2008-11-27 13:14 --------- d-----w c:\dokumente und einstellungen\hubert\Anwendungsdaten\Nero
2008-11-22 14:10 --------- d-----w c:\programme\Hewlett-Packard
2008-11-21 07:46 98,304 ----a-w c:\windows\system32\CmdLineExt.dll
2008-11-21 07:34 --------- d-----w c:\programme\Sierra
2008-11-21 07:32 --------- d-----w c:\dokumente und einstellungen\hubert\Anwendungsdaten\InstallShield
2008-11-20 16:52 --------- d-----w c:\dokumente und einstellungen\hubert\Anwendungsdaten\Microsoft Web Folders
2008-11-14 13:59 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-04-14 12:00 94,800 --sh--w c:\windows\twain.dll
2008-04-14 12:00 50,688 --sh--w c:\windows\twain_32.dll
2008-04-14 12:00 1,028,096 --sh--w c:\windows\system32\mfc42.dll
2008-04-14 12:00 57,344 --sh--w c:\windows\system32\msvcirt.dll
2008-04-14 12:00 413,696 --sh--w c:\windows\system32\msvcp60.dll
2008-04-14 12:00 343,040 --sh--w c:\windows\system32\msvcrt.dll
2008-04-14 12:00 551,936 --sh--w c:\windows\system32\oleaut32.dll
2008-04-14 12:00 84,992 --sh--w c:\windows\system32\olepro32.dll
2008-04-14 12:00 12,288 --sh--w c:\windows\system32\regsvr32.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-07-17 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-07-17 178712]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-07-17 150040]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-05-08 1105920]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2007-07-26 192512]
"Realtime Monitor"="c:\programme\CA\eTrustITM\realmon.exe" [2007-01-16 407632]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-03-25 570664]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-11-27 180269]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-28 136600]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-26 c:\windows\RTHDCPL.EXE]
"SoundMan"="SOUNDMAN.EXE" [2006-07-21 c:\windows\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 c:\windows\ALCWZRD.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\984b9ffe509]
2009-01-14 23:36 135168 c:\windows\system32\dskquoui32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\dskquoui32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ComputerAssociatesAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\CA\\eTrustITM\\InoRpc.exe"=
"c:\\Programme\\CA\\eTrustITM\\Realmon.exe"=
"c:\\Programme\\CA\\eTrustITM\\Shellscn.exe"=
"c:\\Programme\\LimeWire\\LimeWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 Hotkey;Hotkey;c:\windows\system32\drivers\HOTKEY.sys [2008-10-21 9867]
R3 JMCR;JMCR;c:\windows\system32\drivers\jmcr.sys [2008-10-21 84240]
R3 WisLMSvc;WisLMSvc;c:\programme\Launch Manager\WisLMSvc.exe [2008-10-21 118784]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7a555908-9f7d-11dd-801a-000df057b1ce}]
\Shell\AutoRun\command - e:\truecrypt\TrueCrypt.exe /q background /e /m rm /v "max_portableapps.tc"
\Shell\dismount\command - e:\truecrypt\TrueCrypt.exe /q /d
\Shell\start\command - e:\truecrypt\TrueCrypt.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-CtrlVol - c:\programme\Launch Manager\CtrlVol.exe
HKLM-Run-LaunchAp - c:\programme\Launch Manager\LaunchAp.exe
HKLM-Run-Wbutton - c:\programme\Launch Manager\WButton.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.vol.at/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\Office\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\hubert\Anwendungsdaten\Mozilla\Firefox\Profiles\qbxfq85z.default\

---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-14 23:38:27
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CtrlVol = c:\programme\Launch Manager\CtrlVol.exe?8???x???0???\???????0??????????????|???|???????|????????L???????xJ????F?????????????h?????????????B????????|@??|????=??|??A??????? ????A???%"??????????7~?h@???????????????A???u"??????A???@?hJ??vs@?hJ??t?%"??@?xJ?????
LaunchAp = c:\programme\Launch Manager\LaunchAp.exe????x???0???\???????0??????????????|???|???????|????????L???????xJ????F?????????????h?????????????B????????|@??|????=??|??A??????? ????A???%"??????????7~?h@???????????????A???u"??????A???@?hJ??vs@?hJ??t?%"??@?xJ?????
Wbutton = c:\programme\Launch Manager\WButton.exe?????x???0???\???????0??????????????|???|???????|????????L???????xJ????F?????????????h?????????????B????????|@??|????=??|??A??????? ????A???%"??????????7~?h@???????????????A???u"??????A???@?hJ??vs@?hJ??t?%"??@?xJ?????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(832)
c:\windows\System32\dskquoui32.dll
c:\programme\CA\SharedComponents\PPRealtime\bin\CACheck.dll
c:\programme\CA\SharedComponents\PPRealtime\bin\CAHook.dll
c:\programme\CA\SharedComponents\PPRealtime\bin\CAServer.dll

- - - - - - - > 'lsass.exe'(896)
c:\windows\System32\dskquoui32.dll
.
Zeit der Fertigstellung: 2009-01-14 23:39:18
ComboFix-quarantined-files.txt 2009-01-14 22:39:15

Vor Suchlauf: 14 Verzeichnis(se), 218.127.708.160 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 218,181,398,528 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

182



hoffe das stimmt so wie ich es gemacht habe ;-)

Poste bitte auch das Avenger log. Poste generell alle logs.

Und deinstalliere AntiVir oder eTrust! Zwei AVs auf einem Rechner sind nicht gut.

Den QuickTimePlayer würde ich aus dem Autostart nehmen. Kannst du mit CCleaner unter Extras -> Autostart machen.

Deinstalliere Limewire über die Systemesteuerung -> Software.

Downloade dir den Avenger.

Dann geht's im abgesicherten Modus weiter:

Arbeiten mit regedit.

Starte den Rechner im abgesicherten Modus

Start->ausführen-> " regedit " (ohne " ") eingeben und Enter drücken.

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest..

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen.

Dann navigierst du links zu den folgenden Schlüsseln und löscht sie:

Zitat:

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\984b9ffe509

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\dskquoui32. dll

HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\LimeWire\\LimeWire.exe"=

Hinweis:

• HKLM\... bedeutet HKEY_Local_Mashine\
• HKCU\... bedeutet HKEY_Current_User\

und so weiter...


Danach lasse cCleaner dein System bereinigen. -Punkt 1 und 2 !


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
c:\windows\system32\11.tmp
c:\windows\system32\A.tmp
 c:\windows\system32\47.tmp
c:\windows\system32\46.tmp
c:\windows\system32\deploytk.dll
c:\windows\system32\dskquoui32.dll
C:\ARKE.tmp


Folders to delete:
c:\programme\LimeWire
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Dann startest du den Rechner im normalen Modus neu.


ISeeYouXP - XP

• Lade dir das Tool IseeYouXp by ShadowPuterDude
  
• Deaktiviere alle Wächter deiner AntiViren Programme und schließe diese vollständig!
  
• Schließe auch alle anderen Anwendungen!
  
• Doppelklicke die ISeeYouXP.exe -> Die Datei wird entpackt nach C:\ISeeYouXP
  
• Das Programm startet danach automatisch. Sollte das nicht der Fall sein, doppelklicke die ISeeYouXP Verknüpfung auf deinem Desktop.
  
• Warte den Scan ab. Nach dem Scan findest du das ISeeYouXP.txt log auf deinem Desktop. Hänge es bitte an deinen nächsten Post an. (Nicht direkt in den Thread posten da es sehr lang sein kann!)

PS:

Zitat:

In der Datei 'C:\WINDOWS\system32\10.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Agent.bdf' [trojan] gefunden.

Schon gesehen...

so nun hab ich glaub ich alles gemacht was noch wolltest, nur eins ging ned:

HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\LimeWire\\LimeWire.exe"=

hab das ding nicht gefunden, liegts daran das ich wie du wolltest Lime schon gelöscht habe





Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\11.tmp" deleted successfully.
File "c:\windows\system32\A.tmp" deleted successfully.
File "c:\windows\system32\47.tmp" deleted successfully.
File "c:\windows\system32\46.tmp" deleted successfully.
File "c:\windows\system32\deploytk.dll" deleted successfully.

Error: file "c:\windows\system32\dskquoui32.dll" not found!
Deletion of file "c:\windows\system32\dskquoui32.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\ARKE.tmp" not found!
Deletion of file "C:\ARKE.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\programme\LimeWire" not found!
Deletion of folder "c:\programme\LimeWire" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.



----------------------------------------------------------


REINIGUNG komplett - (5.565 Sek)
------------------------------------------------------------------------------------------
49,1MB entfernt.
------------------------------------------------------------------------------------------

Details der gelöschten Dateien
------------------------------------------------------------------------------------------
IE Temporären Internetdateien (375 Dateien) 3,22MB
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@secure.partyaccount[1].txt 106 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@doubleclick[1].txt 94 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@sdc.tele[1].txt 145 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@adtrgt[1].txt 411 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@partypoker[2].txt 177 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@austriacomplus[1].txt 93 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@sdc.tele[3].txt 236 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@ad.yieldmanager[1].txt 606 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@oewabox[1].txt 90 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@vol[1].txt 478 Byte
C:\Dokumente und Einstellungen\hubert\Cookies\hubert@partyaccount[1].txt 117 Byte
Zum Löschen markiert: C:\Dokumente und Einstellungen\hubert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Zum Löschen markiert: C:\Dokumente und Einstellungen\hubert\Cookies\index.dat
Zum Löschen markiert: C:\Dokumente und Einstellungen\hubert\Lokale Einstellungen\Verlauf\History.IE5\index.dat
C:\Dokumente und Einstellungen\hubert\Recent\1 title.bmp.lnk 777 Byte
C:\Dokumente und Einstellungen\hubert\Recent\2008.doc.lnk 554 Byte
C:\Dokumente und Einstellungen\hubert\Recent\ComboFix.txt.lnk 421 Byte
C:\Dokumente und Einstellungen\hubert\Recent\Hallo guten Abend.doc.lnk 623 Byte
C:\Dokumente und Einstellungen\hubert\Recent\hijackthis.log.lnk 423 Byte
C:\Dokumente und Einstellungen\hubert\Recent\Katy Perry.lnk 611 Byte
C:\Dokumente und Einstellungen\hubert\Recent\lieder.doc.lnk 495 Byte
C:\Dokumente und Einstellungen\hubert\Recent\System (C).lnk 299 Byte
C:\Dokumente und Einstellungen\hubert\Recent\UDISK 2.0 (E).lnk 188 Byte
C:\Dokumente und Einstellungen\hubert\Recent\Und deinstalliere AntiVir oder eTrust.doc.lnk 371 Byte
C:\Dokumente und Einstellungen\hubert\Recent\wiederhergestelltes Dokument .doc.lnk 683 Byte
C:\Dokumente und Einstellungen\hubert\Recent\wiederhergestelltes Dokument.doc.lnk 678 Byte
Geleerter Papierkorb (1 Dateien) 3,89KB
C:\WINDOWS\system32\wbem\Logs\wbemcore.log 26,95KB
C:\WINDOWS\system32\wbem\Logs\wbemess.log 25,39KB
C:\WINDOWS\system32\wbem\Logs\wbemprox.log 606 Byte
C:\WINDOWS\system32\wbem\Logs\wmiadap.log 182 Byte
C:\WINDOWS\system32\wbem\Logs\wmiprov.log 1,70KB
C:\WINDOWS\0.log 0 Byte
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\drwtsn32.log 0,15MB
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp 21,52KB
C:\WINDOWS\Debug\UserMode\userenv.log 2,94KB
Entfernte Cookies: google.at
Entfernte Cookies: zanox-affiliate.de
Entfernte Cookies: trojaner-board.de
Entfernte Cookies: chip.de
Entfernte Cookies: sales.tfag.de
Entfernte Cookies: forum.chip.de
Entfernte Cookies: smartadserver.com
Entfernte Cookies: bs.serving-sys.com
Entfernte Cookies: serving-sys.com
Entfernte Cookies: gulli.com
Entfernte Cookies: pr.gulli.com
Entfernte Cookies: ad.salebroker.de
Entfernte Cookies: zanox.com
Entfernte Cookies: ad.zanox.com
Entfernte Cookies: tracking.quisma.com
Entfernte Cookies: unitymedia.de
Entfernte Cookies: www.zanox-affiliate.de
Entfernte Cookies: tradedoubler.com
Entfernte Cookies: webmasterplan.com
Entfernte Cookies: www.etracker.de
Entfernte Cookies: dsl.1und1.de
Entfernte Cookies: www.eplus.de
Entfernte Cookies: versatel-privatkunden.de
Entfernte Cookies: google.com
Entfernte Cookies: doubleclick.net
Entfernte Cookies: de.wasalive.com
Entfernte Cookies: forum.avira.com
Entfernte Cookies: apmebf.com
Entfernte Cookies: emjcd.com
Entfernte Cookies: nonstoppartner.de
Entfernte Cookies: www.karstadt.de
Entfernte Cookies: www.neu.de
Entfernte Cookies: www.myvideo.de
Entfernte Cookies: www.viking.de
Entfernte Cookies: www.myvideo.at
Entfernte Cookies: neu.de
Entfernte Cookies: advertising.com
Entfernte Cookies: eshop.arcor.net
Entfernte Cookies: adrevolver.com
Entfernte Cookies: media.adrevolver.com
Entfernte Cookies: ivwbox.de
Entfernte Cookies: intellitxt.com
Entfernte Cookies: quantserve.com
Entfernte Cookies: adjug.com
Entfernte Cookies: adfarm1.adition.com
Entfernte Cookies: www.trendsecure.com
Entfernte Cookies: statse.webtrendslive.com
Entfernte Cookies: mediaplex.com
Entfernte Cookies: www.gmx.at
Entfernte Cookies: uimserv.net
Entfernte Cookies: oewabox.at
Entfernte Cookies: gmx.net
Entfernte Cookies: service.gmx.net
Entfernte Cookies: komtrack.com
Entfernte Cookies: atdmt.com
Entfernte Cookies: expedia.com
Entfernte Cookies: logout.gmx.net
Entfernte Cookies: vol.at
Entfernte Cookies: sdc.tele.net
Entfernte Cookies: austriacomplus.at
Entfernte Cookies: www.vol.at
Entfernte Cookies: youtube.com
Entfernte Cookies: apps.vol.at
Entfernte Cookies: digital.vol.at
Entfernte Cookies: adverserve.net
Entfernte Cookies: video.vol.at
Entfernte Cookies: spotlight-wissen.de
Entfernte Cookies: www.supernature-forum.de
Entfernte Cookies: supernature-forum.de
Entfernte Cookies: euros4click.de
Entfernte Cookies: adscale.de
Entfernte Cookies: ih.adscale.de
Entfernte Cookies: www.grc.com
Entfernte Cookies: www.grctech.com
Entfernte Cookies: adtech.de
Entfernte Cookies: friendscout24.de
Entfernte Cookies: yahoo.com
Entfernte Cookies: mozilla.com
C:\Dokumente und Einstellungen\hubert\Anwendungsdaten\Mozilla\Firefox\Profiles\qbxfq85z.default\downloads.sqlite 8,00KB
Firefox/Mozilla Temporärer Internet Cache (497 Dateien) 45,7MB
C:\Dokumente und Einstellungen\hubert\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol 405 Byte
------------------------------------------------------------------------------------------



ANALYSE komplett - (1.070 Sek)
------------------------------------------------------------------------------------------
1,23KB zu entfernen. (Ungefähre Größe)
------------------------------------------------------------------------------------------

Details der zu löschenden Dateien (Hinweis: Es wurden noch keine Dateien gelöscht)
------------------------------------------------------------------------------------------
C:\Dokumente und Einstellungen\hubert\Recent\1 COMPUTER.lnk 460 Byte
C:\Dokumente und Einstellungen\hubert\Recent\cleaner log.txt.lnk 624 Byte
C:\WINDOWS\system32\wbem\Logs\wbemcore.log 180 Byte
------------------------------------------------------------------------------------------


Richtig so ?

und noch den ISeeYou log.

hmm ist zu groß um anzuhängen? 99kb

Das sieht doch schonmal ganz gut aus.

Hänge das ISeeYou log bitte an oder lade es bei rapidshare hoch und poste den downloadlink.

also so mal zur info, ich find das total klasse das du mir so hilfts, ist echt ne feine sache, und mein laptop läuft jetzt so gut wie noch gar ned seid ich ihn habe

nun hab ich aber grad wider eine neue meldung bekommen?
Meintest doch grad das es schon gut ausschaut.

In der Datei 'C:\Dokumente und Einstellungen\hubert\Desktop\ISeeYouXP.exe'
wurde ein Virus oder unerwünschtes Programm 'WORM/KillProc.C' [worm] gefunden.
Ausgeführte Aktion: Datei löschen

hatt antivier das teil nun gelöscht?

So hab das mit dem hosten nun auch hin bekommen:

Dein Download-Link #1: http://rapidshare.de/files/41630166/ISeeYouXP.txt.html

ich glaub ich hab einen fehler gemacht hab wohl das zweite zuerst gemacht hoffe das ist nicht schlimm....

nun hab ich aber auch noch das andere gemacht:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\System32\dskquoui32.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



und kommischerweise hab ich nun eine andere meldung von antivier, nach dem neustart:

In der Datei 'C:\WINDOWS\system32\10.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Agent.bdf' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Noch ein Trojaner?