Trojaner-Board - Immer wieder Spysheriff & Co. Bestimmte Site?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Immer wieder Spysheriff & Co. Bestimmte Site? (https://www.trojaner-board.de/21683-immer-spysheriff-co-bestimmte-site.html)

Immer wieder Spysheriff & Co. Bestimmte Site?

Hi ich hab echt ein Problem.

Immer wenn ich auf die Seite: www.minivannews.com gehe, geht die Seite schlagartig zu, es installiert sich SpySheriff, TNS etc etc und ich hab den ganzen Rechner verseucht.

Ich kann aber nicht glauben, dass es an dieser Seite liegt und ich konnte im Quelltext auch nichts finden. Es ist mir aber jetzt schon 3 x passiert immer bei dieser Seite. Kaspersky hab ich in der Testversion jetzt auch laufen, aber der hat nur angezeigt da ist was er kanns nicht löschen.

Meine Freundin hatte auf der Seite nichts, sie meinte es wäre eine friedliche Seite und sie hat auch Kaspersky und alles laufen.

Vorhin hat mir Kaspersky eine Meldung gebracht von irgendeiner IP Adresse sollte mir Lovescan verabreicht werden, erfolgreich abgewehrt. Ich hatte aber nur Win Total auf und Panda Virenscan. Es ist doch komisch???

Was ist das bloß??? Hoffentlich kann mir jemand weiterhelfen, ich wäre sehr dankbar!!! Wegen Windows, ich kann keine SP installieren.

Hier meine Daten:

Logfile of HijackThis v1.99.1
Scan saved at 16:20:13, on 11.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Pinnwand\Pinnwand.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Aurora\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Verknüpfung mit Pinnwand.lnk = C:\Programme\Pinnwand\Pinnwand.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEEFA675-87CF-4F6E-B854-8968D7DA9A95}: NameServer = 194.97.173.125 194.97.173.124
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: DataDesign AG Chipdrive SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE

Liebe Grüße
Aury

@Aury
update dein system und IE so schnell wie möglich
scanne danach dein system mit escan
http://www.trojaner-board.de/showthread.php?t=17492
und editiere deine aktive links

chaosman

Ok hab alles erledigt. Ich denk jedoch, dass Windows hat zwar was runtergeladen Update mässig allerdings glaub ich nicht dass es das SP2 war. Kann jedenfalls keinen Unterschied feststellen. Kann das ja noch mal manuell erledigen. Aber ich hab Angst, dass ich danach noch mehr Ärger habe. Hab gehört, wenn man einen anderen Regschlüssel benutzt, wird gleich das System gelöscht und so.

Dieses Programm hab ich im abgesicherten Modus ausgeführt. Das hat voll viel gefunden :-((( Vieles im C:\System\restore oder so, jedenfalls weiss ich nicht was ich jetzt machen soll geschweige denn wo ich das löschen kann.

Hab vorher 2 x versucht das zu kopieren, werde es jetzt in getrennten Beiträgen versuchen, jedes Mal hing das board dann fest.

Also:

Mon Sep 12 16:50:28 2005 => System found infected with funweb Spyware/Adware ({00A6FAF6-072E-44cf-8957-5838F569A31D})! Action taken: No Action Taken.
Mon Sep 12 16:50:29 2005 => System found infected with MyWebSearchEmailPlugin Spyware/Adware ({07B18EA9-A523-4961-B6BB-170DE4475CCA})! Action taken: No Action Taken.

Mon Sep 12 16:50:31 2005 => Offending Folder found: C:\PROGRA~1\ares
Mon Sep 12 16:50:31 2005 => Object "Ares Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Sep 12 16:50:55 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Mon Sep 12 16:50:55 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx". Action Taken: No Action Taken.

Mon Sep 12 16:50:55 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\MSXML3A.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:50:55 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\DOKUME~1\Aurora\LOKALE~1\Temp\_ISTMP2.DIR\_ISTMP0.DIR\FileGrp\Msvcrt10.dll". Action Taken: No Action Taken.

Mon Sep 12 16:50:55 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\NeroCoverDesigner_fra.chm". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-jpn.nls". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\Nero BackItUp\NeroBackItUp_Fra.chm". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart_fra.chm". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart_jpn.chm". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\Nero BackItUp\BackItUp-Jpn.nls". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Office Tools\". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\freenetiPhone\". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".backup". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".t". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKCR\CLSID\{00A6FAF6-072E-44cf-8957-5838F569A31D}" refers to invalid object "C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:50:57 2005 => Entry "HKCR\CLSID\{07B18EA9-A523-4961-B6BB-170DE4475CCA}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:50:57 2005 => Entry "HKCR\CLSID\{25560540-9571-4D7B-9389-0F166788785A}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\F3DTACTL.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:50:57 2005 => Entry "HKCR\CLSID\{2B7E6AA9-C4FA-4951-815B-4AFE39D81453}" refers to invalid object "C:\Programme\Messenger\msgsc.dll". Action Taken: No Action Taken.

Mon Sep 12 16:50:58 2005 => Entry "HKCR\CLSID\{3E720452-B472-4954-B7AA-33069EB53906}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\M3HTML.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:50:58 2005 => Entry "HKCR\CLSID\{4C171D40-8277-11D5-AD55-00010333D0AD}" refers to invalid object "C:\Programme\Yahoo!\Messenger\yhexbmesde.dll". Action Taken: No Action Taken.

Mon Sep 12 16:50:58 2005 => Entry "HKCR\CLSID\{53CED2D0-5E9A-4761-9005-648404E6F7E5}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:50:58 2005 => Entry "HKCR\CLSID\{7473D294-B7BB-4f24-AE82-7E2CE94BB6A9}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\M3SKIN.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:50:58 2005 => Entry "HKCR\CLSID\{7473D296-B7BB-4f24-AE82-7E2CE94BB6A9}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\M3SKIN.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:51:00 2005 => Entry "HKCR\CLSID\{D9FFFB27-D62A-4D64-8CEC-1FF006528805}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\F3HTTPCT.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:51:00 2005 => Entry "HKCR\CLSID\{E3A3B1D9-5675-43c0-BF04-37BE11939FB7}" refers to invalid object ""C:\Programme\Messenger\msmsgs.exe"". Action Taken: No Action Taken.

Mon Sep 12 16:51:00 2005 => Entry "HKCR\TypeLib\{0D26BC71-A633-4E71-AD31-EADC3A1B6A3A}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\F3HTTPCT.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:51:00 2005 => Entry "HKCR\TypeLib\{3E720450-B472-4954-B7AA-33069EB53906}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\M3HTML.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:51:00 2005 => Entry "HKCR\TypeLib\{4E7EC70E-735B-4D5E-9828-D83BD61E2CD7}" refers to invalid object "C:\DOKUME~1\Aurora\LOKALE~1\Temp\VBE\MSForms.exd". Action Taken: No Action Taken.

Mon Sep 12 16:51:00 2005 => Entry "HKCR\TypeLib\{9DAF7386-61E3-425D-BFB2-77CB48D3B327}" refers to invalid object "C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx". Action Taken: No Action Taken.

Mon Sep 12 16:51:00 2005 => Entry "HKCR\TypeLib\{B1250A2B-F28C-404B-BCFE-839B010A95B0}" refers to invalid object "C:\DOKUME~1\Aurora\LOKALE~1\Temp\VBE\RefEdit.exd". Action Taken: No Action Taken.

Mon Sep 12 16:51:00 2005 => Entry "HKCR\TypeLib\{C8CECDE3-1AE1-4C4A-AD82-6D5B00212144}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\F3DTACTL.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:51:01 2005 => Entry "HKCR\.sll" refers to invalid object "SSLFile". Action Taken: No Action Taken.

Mon Sep 12 16:51:01 2005 => Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.

Mon Sep 12 16:51:02 2005 => Entry "HKCR\MsnMessengerSetupDownloader.MsnMessen.1" refers to invalid object "{B38870E4-7ECB-40DA-8C6A-595F0A5519FF}". Action Taken: No Action Taken.

Mon Sep 12 16:51:02 2005 => Entry "HKCR\MsnMessengerSetupDownloader.MsnMessenge" refers to invalid object "{B38870E4-7ECB-40DA-8C6A-595F0A5519FF}". Action Taken: No Action Taken.

Mon Sep 12 16:51:02 2005 => Entry "HKCR\NetscapeMarkup" refers to invalid object "{61D8DE20-CA9A-11CE-9EA5-0080C82BE3B6}". Action Taken: No Action Taken.

Mon Sep 12 16:51:02 2005 => Entry "HKCR\NetscapeMarkup\shell\open\command" refers to invalid object "C:\PROGRA~1\Netscape\COMMUN~1\Program\Netscape.exe "%1"". Action Taken: No Action Taken.

Ich weiß nicht ob das reicht? Das File ist jedenfalls riesengroß!!!

Und hier das andere noch mal:

Logfile of HijackThis v1.99.1
Scan saved at 18:48:19, on 12.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Pinnwand\Pinnwand.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Aurora\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Verknüpfung mit Pinnwand.lnk = C:\Programme\Pinnwand\Pinnwand.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h**ps://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEEFA675-87CF-4F6E-B854-8968D7DA9A95}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: DataDesign AG Chipdrive SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE

So habe mal aus der Registry schon alle Schlüssel gelöscht die da aufgeführt waren!

So na also ich hab es geschafft, die System Volume Information zu löschen, die 160 sind weg nur noch die 3 da, keine Ahnung wo die sich befinden!!!!

Aktueller log:

=> ***** Scanning Registry and File system for Adware/Spyware *****
Mon Sep 12 21:21:21 2005 => Loading Spyware Signatures from new External Database (Size: 143636).

Mon Sep 12 21:21:23 2005 => Offending Folder found: C:\PROGRA~1\ares
Mon Sep 12 21:21:33 2005 => Object "Ares Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Sep 12 21:21:34 2005 => Offending value found in HKCU\Software\FunWebProducts !!!
Mon Sep 12 21:21:34 2005 => Offending Folder found: C:\DOKUME~1\Aurora\ANWEND~1\FunWebProducts
Mon Sep 12 21:21:34 2005 => Object "funwebproducts Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Sep 12 21:22:09 2005 => Offending file found: C:\WINDOWS\iun6002.exe
Mon Sep 12 21:22:09 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.

Mon Sep 12 21:22:48 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Mon Sep 12 21:22:48 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe" refers to invalid object "C:\DOKUME~1\Aurora\LOKALE~1\Temp\hijackthis.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:49 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".avc". Action Taken: No Action Taken.

Mon Sep 12 21:22:49 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dbl". Action Taken: No Action Taken.

Mon Sep 12 21:22:49 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".game". Action Taken: No Action Taken.

Mon Sep 12 21:22:49 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".leo". Action Taken: No Action Taken.

Mon Sep 12 21:22:49 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".snm". Action Taken: No Action Taken.

Mon Sep 12 21:22:49 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".tll". Action Taken: No Action Taken.

Mon Sep 12 21:22:50 2005 => Entry "HKCR\CLSID\{03819E35-56B6-42BB-9CAD-5A8768D7556B}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:50 2005 => Entry "HKCR\CLSID\{03F3EB8F-BF06-488F-A808-B3A3EAD5C968}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:50 2005 => Entry "HKCR\CLSID\{0661FFC2-46C1-45C8-A78D-B85144D83B47}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:50 2005 => Entry "HKCR\CLSID\{0DE200BA-4B11-49C4-83F9-9E1F749E5700}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:50 2005 => Entry "HKCR\CLSID\{13973210-8B95-4B00-B4A0-87C7E6854CCE}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:51 2005 => Entry "HKCR\CLSID\{398BD73C-76C2-4376-B595-5B35E4FA5F1D}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:51 2005 => Entry "HKCR\CLSID\{456E55C3-6DC8-4B6A-8E72-D096E7812545}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:51 2005 => Entry "HKCR\CLSID\{46A5C24D-6EE6-438D-B389-3C48C29C2CD0}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:52 2005 => Entry "HKCR\CLSID\{4B718E68-C132-4319-8D3B-750FC01E7C43}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:52 2005 => Entry "HKCR\CLSID\{4C7AAF4A-9414-455F-9D6D-54B3A7069DCF}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:52 2005 => Entry "HKCR\CLSID\{50553481-A590-49D4-98A8-0136244F7F36}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:52 2005 => Entry "HKCR\CLSID\{6A18FCA0-C53C-4AA1-9285-7FD98EE6AEF5}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:53 2005 => Entry "HKCR\CLSID\{83417D49-C236-4946-91A3-67E24F8ABBBE}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:54 2005 => Entry "HKCR\CLSID\{982A83F3-9B4D-4535-9EF6-1B45202390BC}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:54 2005 => Entry "HKCR\CLSID\{B130644A-D587-4862-841D-500464FB7DB0}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:54 2005 => Entry "HKCR\CLSID\{B26FB0EE-B290-4D33-B44C-3B4A8B2FB29D}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:55 2005 => Entry "HKCR\CLSID\{BAA5FBCF-478D-4A57-AE8C-E94C6640CCAC}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:55 2005 => Entry "HKCR\CLSID\{C0655A9E-42C5-45B8-AB83-16C8E4990213}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:56 2005 => Entry "HKCR\CLSID\{D83A9597-7433-4283-AAAF-378CA2031666}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:56 2005 => Entry "HKCR\CLSID\{E0FE17FC-4A33-4F65-88BA-130DF8F1661F}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:56 2005 => Entry "HKCR\CLSID\{E74E4448-8D0A-4EF5-A432-19B0C03D0364}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:57 2005 => Entry "HKCR\CLSID\{F555C8FD-FA97-46DF-9D83-3575CE6280B4}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:57 2005 => Entry "HKCR\TypeLib\{0E9FFA9E-B267-44DF-BC81-2B08E3977ED5}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:23:02 2005 => Entry "HKCR\MyWebSearch.HTMLPanel" refers to invalid object "{3E720452-B472-4954-B7AA-33069EB53906}". Action Taken: No Action Taken.

Mon Sep 12 21:23:02 2005 => Entry "HKCR\MyWebSearch.HTMLPanel.1" refers to invalid object "{3E720452-B472-4954-B7AA-33069EB53906}". Action Taken: No Action Taken.

Mon Sep 12 21:23:02 2005 => Entry "HKCR\MyWebSearch.PseudoTransparentPlugin" refers to invalid object "{7473D294-B7BB-4f24-AE82-7E2CE94BB6A9}". Action Taken: No Action Taken.

Mon Sep 12 21:23:02 2005 => Entry "HKCR\MyWebSearch.PseudoTransparentPlugin.1" refers to invalid object "{7473D294-B7BB-4f24-AE82-7E2CE94BB6A9}". Action Taken: No Action Taken.

Mon Sep 12 21:23:02 2005 => Entry "HKCR\MyWebSearchToolBar.ToolbarPlugin" refers to invalid object "{53CED2D0-5E9A-4761-9005-648404E6F7E5}". Action Taken: No Action Taken.

Mon Sep 12 21:23:02 2005 => Entry "HKCR\MyWebSearchToolBar.ToolbarPlugin.1" refers to invalid object "{53CED2D0-5E9A-4761-9005-648404E6F7E5}". Action Taken: No Action Taken.

Mon Sep 12 21:59:12 2005 => Total Objects Scanned: 53974
Mon Sep 12 21:59:12 2005 => Total Virus(es) Found: 3
Mon Sep 12 21:59:12 2005 => Total Disinfected Files: 0
Mon Sep 12 21:59:12 2005 => Total Files Renamed: 0
Mon Sep 12 21:59:12 2005 => Total Deleted Objects: 0
Mon Sep 12 21:59:12 2005 => Total Errors: 427
Mon Sep 12 21:59:12 2005 => Time Elapsed: 00:38:11
Mon Sep 12 21:59:12 2005 => Virus Database Date: 2005/09/09
Mon Sep 12 21:59:12 2005 => Virus Database Count: 148428

Und das andere (das zeigt wohl nen Virus oben an?!):

Logfile of HijackThis v1.99.1
Scan saved at 22:07:30, on 12.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Tweak-XP Pro 4\AdBlocker.exe
C:\Programme\Pinnwand\Pinnwand.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\Base_X\mwavscan.com
C:\Base_X\kavss.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Aurora\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro 4\AdBlocker.exe"
O4 - Startup: Verknüpfung mit Pinnwand.lnk = C:\Programme\Pinnwand\Pinnwand.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h**ps://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEEFA675-87CF-4F6E-B854-8968D7DA9A95}: NameServer = 194.97.173.125 194.97.173.124
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: DataDesign AG Chipdrive SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE

Vielleicht kann mir ja einer einen Tip geben???? Ist irgndwas auffälliges drin???? Was bedeutet das mit der IP:

O17 - HKLM\System\CCS\Services\Tcpip\..\{AEEFA675-87CF-4F6E-B854-8968D7DA9A95}: NameServer = 194.97.173.125 194.97.173.124

Komisch oder?????

DANKE im voraus!!!
Ach ja Update laden ist nicht!!!!

LG
Aury

Zitat:

Zitat von Aury

Ach ja Update laden ist nicht!!!!

Warum?! Dann hat auch eine Bereinigungsprozedur, sowie die nachfolgende Absicherungsmaßnahmen, keinen Sinn.

Es liegt wohl am Lizenzschlüssel. Wenn ich SP2 lade kommt: Datei beschädigt. Vom Windows Server. Keine Chance.
Trotzdem muss ich es ja wegkriegen, falls da was drauf ist.

Also ich hab jetzt 0 Ergebnis bei escan. Hab die anderen Schlüssel auch gelöscht in der Registry.
Ist denn in diesem Hijack irgendwas gefährliches drin????

Und was ist mit dieser Seite? Im Startposting erwähnt? Kann man da irgendwie checken ob da was drauf ist? Oder warum bekommt meine Freundin da nichts und ich schon 3 mal - immer nach dem ich diese Seite aufgemacht habe? Kann es denn sowas geben?

sorry,
aber das hört sich für mich nach ner gecrackten windowsversion an. Ansonsten wende dich doch mal an microsoft...

:pfui:

PS: Solltest du eine legale version haben, entschuldige ich mich natürlich dafür.