Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Problem mit Pop Up Fenstern (https://www.trojaner-board.de/46223-problem-pop-up-fenstern.html)

murderdollpf 23.11.2007 23:13
Problem mit Pop Up Fenstern
 
hallo,
bin neu hier und nenne jetzt mal mein problem:

mein firefox öffnet ständig fenster mit werbung (spyware,Quelle,esprit)...
wenn ich mit ad aware scanne stürzt dieses ab,hat aber 235 probleme anscheinend entdeckt.
antivir findet nichts.
jetzt kam es auch schon vor das firefox ewig lädt und der pc total langsam wird und dann nichtmehr reagiert.

hoffe mal ihr könnt mir helfen.

System:windows xp alles auf dem neusten stand
Firewall:Zonealarm
Virenscanner:Antivir


Logfile of HijackThis v1.99.1
Scan saved at 23:22:04, on 23.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\rundll32.exe
C:\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\ZoneAlarm\zlclient.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temp\wz42b1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nkoroznevw] c:\windows\system32\nkoroznevw.exe nkoroznevw
O4 - HKLM\..\Run: [QuickTime Task] "C:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195850783296
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

BataAlexander 23.11.2007 23:25
Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!

MWAV (eScan) - Free Antivirus

-> Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
Dauer des eScan: ca. 2-3 Stunden, je nach System!

Bis dann :)

murderdollpf 23.11.2007 23:31
ok werd ich tun.danke schonmal
hab java jetzt mal deinstalliert und mich entschieden auf kein neues zu installieren,da ich es nicht brauche.

BataAlexander 23.11.2007 23:32
Was übersehn!

Die Datei

c:\windows\system32\nkoroznevw.exe (ist auf jeden Fall ein Schädling)

bitte bei VirusTotal - Free Online Virus and Malware Scan hochladen und das Ergbnis hier posten (inkl. der MD5/ SHA1!

murderdollpf 23.11.2007 23:48
Zitat:
Zitat von BataAlexander (Beitrag 306598)
Was übersehn!

Die Datei

c:\windows\system32\nkoroznevw.exe (ist auf jeden Fall ein Schädling)

bitte bei VirusTotal - Free Online Virus and Malware Scan hochladen und das Ergbnis hier posten (inkl. der MD5/ SHA1!
leider finde ich die datei nicht.
im system 32 ist sie nicht auffindbar.kann es sein das diese einen anderen namen hat?
noch was,ist es ratsam den escan ohne das hochladen der datei zu machen?

murderdollpf 25.11.2007 18:53
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.24.0 2007.11.23 -
AntiVir 7.6.0.34 2007.11.23 -
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.23 -
AVG 7.5.0.503 2007.11.25 -
BitDefender 7.2 2007.11.25 -
CAT-QuickHeal 9.00 2007.11.24 -
ClamAV 0.91.2 2007.11.25 -
DrWeb 4.44.0.09170 2007.11.25 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5324 2007.11.24 -
Ewido 4.0 2007.11.25 -
FileAdvisor 1 2007.11.25 -
Fortinet 3.14.0.0 2007.11.25 -
F-Prot 4.4.2.54 2007.11.25 -
F-Secure 6.70.13030.0 2007.11.24 -
Ikarus T3.1.1.12 2007.11.25 -
Kaspersky 7.0.0.125 2007.11.25 -
McAfee 5170 2007.11.23 -
Microsoft 1.3007 2007.11.25 -
NOD32v2 2684 2007.11.25 -
Norman 5.80.02 2007.11.23 -
Panda 9.0.0.4 2007.11.25 Adware/NaviPromo
Prevx1 V2 2007.11.25 Heuristic: Suspicious File With Outbound Communications
Rising 20.19.61.00 2007.11.25 -
Sophos 4.23.0 2007.11.25 -
Sunbelt 2.2.907.0 2007.11.24 -
Symantec 10 2007.11.25 -
TheHacker 6.2.9.141 2007.11.24 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.25 -
Webwasher-Gateway 6.0.1 2007.11.25 -
weitere Informationen
File size: 280576 bytes
MD5: a35be0ed1efc9df953f2afb392195ab6
SHA1: 49dfdcd086b3c86e6596d3004880614363fd5511
Prevx info: Prevx

murderdollpf 25.11.2007 20:09
b]Header[/b]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.6
Sprache: German
C:\DOKUME~1\Mario\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({0ba4ac17-3329-4d46-8cf7-40a8f1cb3dca})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({30571f17-3201-47ed-a8ac-254f3d5c5b5c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4acc4c22-2baf-46ca-8287-232e785e77ce})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({9c1ab46a-1fe8-4953-be30-327e0d6f7d45})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({dd55f5c5-de77-4de1-a139-1025c66acfb0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.
System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\gpinstall.exe
Offending file found: C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\temp\nsy34.tmp\installoptions.dll
Offending file found: C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\temp\nsy72.tmp\installoptions.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Mario\Anwendungsdaten\adobe\adobe photoshop cs3\presets\tools
Offending Folder found: C:\Dokumente und Einstellungen\Mario\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Mario\Anwendungsdaten\sopcast\adv
Offending Folder found: C:\Dokumente und Einstellungen\Mario\Startmenü\dkz studio\tools
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\Mario\Eigene Dateien\handy\my games unrippt\saintsrow_75rrtl3t.jar nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 19:58:19,39
Batchende: 19:58:26,01

murderdollpf 25.11.2007 20:10
zu dem escan hab ich noch ne frage:
schließt dieser sich nach beenden automatisch?
weil bei mir hat er sich von selber geschlossen und jetzt weiß ich nicht ob er schon fertig war?!

murderdollpf 25.11.2007 21:52
auch bei einem 2ten scan versuch schließt sich der scanner wieder automatisch nach exakt der selben zeit.

(zu diesem zeitpunkt 28 viren und 327 fehler)

was mich nun interessieren würde,wie werde ich die spyware los???
danke schonmal für jede hilfe!

murderdollpf 26.11.2007 07:32
der scanner schließt sich immer beim scannen der datein ``value system information restore``....falls das jemand hier was sagt?!

BataAlexander 26.11.2007 15:13
Jetzt erst wieder online.
Der eScan wurde im abgesicherten Netzwerkmodus ausgeführt. Sollte kein Problem darstellen, aber scheinbar funktioniert hier die find.bat nicht ganz richtig. Nach welcher Anleitung hast du den Scan gemacht? Diese ist die richtige.
Bei dem onlien Scan von Virustotal fehlt mir der Kopf, so das ich nicht weiß, welche Datei Du gescannt hast, poste bitte einen neunen Scan, auch mit dem Kopf.
Ich hätte nun gern ein gmer logfile.
GMER - Rootkit Detection

* Lade Gmer von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt
* Entferne die Häckchen rechts bei -System, -Section, -IAT/EAT, -Devices, -Module, -Processes, -Threads, -Libraries
http://img464.imageshack.us/img464/9996/gmerzj1.jpg

* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

Dann sehen wir weiter.

murderdollpf 26.11.2007 18:49
hallo
ja hatte diese anleitung benutzt,aber bei beiden versuchen schloss sich der scanner von alleine.

GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-11-26 19:10:58
Windows 5.1.2600 Service Pack 2


---- Registry - GMER 1.0.13 ----

Reg \Registry\MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nkoroznevw
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nkoroznevw@key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nkoroznevw@item nkoroznevw
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nkoroznevw@hkey HKLM
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nkoroznevw@command c:\windows\system32\nkoroznevw.exe nkoroznevw
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nkoroznevw@inimapping 0
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run@nkoroznevw c:\windows\system32\nkoroznevw.exe nkoroznevw
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run@nkoroznevw c:\windows\system32\nkoroznevw.exe nkoroznevw
Reg \Registry\USER\S-1-5-21-1004336348-362288127-839522115-1004\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY@?? 0xC4 0x74 0x16 0xE2 ...
Reg \Registry\USER\S-1-5-21-1004336348-362288127-839522115-1004\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY@?? 0x5E 0x4A 0xED 0x42 ...

---- Files - GMER 1.0.13 ----

ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\01\56-{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}-v1-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v56-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\16\16-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v16-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v16-Partial.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\57\57-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v57-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v57-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\58\58-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v58-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v58-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\58\58-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v58-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v58-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\59\59-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v59-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v59-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\59\59-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v59-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v59-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\63\63-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v63-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v63-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\63\63-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v63-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v63-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\64\64-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v64-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v64-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\64\64-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v64-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v64-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\66\66-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v66-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v66-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\66\66-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v66-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v66-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\67\67-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v67-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v67-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\67\67-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v67-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v67-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\68\68-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v68-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v68-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\68\68-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v68-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v68-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\69\69-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v69-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v69-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\69\69-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v69-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v69-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\70\70-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v70-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v70-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\70\70-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v70-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v70-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\75\75-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v75-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v75-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\75\75-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v75-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v75-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\77\77-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v77-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v77-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\77\77-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v77-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v77-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\78\78-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v78-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v78-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\78\78-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v78-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v78-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\79\79-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v79-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v79-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\79\79-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v79-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v79-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\80\80-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v80-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v80-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\80\80-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v80-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v80-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\85\85-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v85-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v85-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\85\85-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v85-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v85-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\86\86-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v86-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v86-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\86\86-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v86-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v86-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\87\87-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v87-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v87-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\87\87-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v87-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v87-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\89\89-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v89-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v89-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
ADS C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\murderdollpf87@hotmail.de\SharingMetadata\pinkpoinson@hotmail.de\DFSR\Staging\CS{7292E9A7-B8FD-6E52-6B9F-20176C7D14FD}\89\89-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v89-{DAA3B7EF-4463-4D6D-BEBE-88CECB993B86}-v89-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
File C:\WINDOWS\Prefetch\NKOROZNEVW.EXE-0DE3EAD2.pf
File C:\WINDOWS\system32\nkoroznevw.dat
File C:\WINDOWS\system32\nkoroznevw.exe
File C:\WINDOWS\system32\nkoroznevw_nav.dat
File C:\WINDOWS\system32\nkoroznevw_navps.dat

---- EOF - GMER 1.0.13 ----

murderdollpf 26.11.2007 20:03
auch hier gab es wieder probleme beim durchsuchen der system restore value.er hat einfach gestoppt,glaube ich zumindest.
oder kommt da keine meldung wenn er fertig ist?

ducato99 26.11.2007 22:55
Hallo,
ich hatte (hoffentlich) das gleiche Problem. Das Programm nkoroznevw.exe hatte sich bei mir im Pfad C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten versteckt. Das Programm war im normalen Win-Explorer nicht zu sehen.
Mit Hilfe einer Bart PE Boot CD mit einer Win XP-Version und einem "A43 File Management Utility v. 2.37" (www.shawneelink.net) ließ sich die Datei finden und löschen. Nach dem Löschvorgang ließ ich die Registry vom Tool "CCcleaner" bereinigen. Seither gibt es erst einmal keine Probleme mehr.
Vielleicht hilft dieses Vorgehen auch bei anderen geschädigten !

Beste Grüsse

ducato99

BataAlexander 27.11.2007 14:27
Du hast scheinbar Navipromo auf dem Rechner.
Dateien verschieben mit OTMoveIt
- Lade Dir OTMoveIt von OldTimer.
- Speichere es auf Deinem Desktop.
- Doppelklicke OTMoveIt.exe um das Programm zu starten.
- Kopiere die untenstehenden Dateien mittels markieren STRG+C ode nach dem markieren, rechtsklick und kopieren wählen.

C:\WINDOWS\Prefetch\NKOROZNEVW.EXE-0DE3EAD2.pf
C:\WINDOWS\system32\nkoroznevw.dat
C:\WINDOWS\system32\nkoroznevw.exe
C:\WINDOWS\system32\nkoroznevw_nav.dat
C:\WINDOWS\system32\nkoroznevw_navps.dat

- Zurück zur OTMoveIt Oberfläche, Rechtsklick auf dem "Paste List of Files/Folders to be moved" Fenster und wähle "Einfügen" oder direkt STRG+V.
- Klick den roten Moveit! button.
- Klick "Exit" um OTMoveIt zu schließen.

- Wenn Du soweit bist, poste den Inhalt des Logs im Forum. Das Logfile liegt im Windows Stammverzeichnis (meist C:\)
Bsp.: C:\_OTMoveIt\MovedFiles\********_******.log
(wobei "********_******" das "Datum_Zeit" ist)
- Wenn eine Datei oder ein Ordner nicht direkt verschoben werden kann, wirst Du gefragt ob Du Neustarten willst um den Vorgang abzuschließen. Falls diese Frage auftaucht, den Rechner neu starten.
- Dann bitte das Log posten.

Die verschobenen Dateien noch nicht löschen, die scannen wir dann noch bei Virustotal.

murderdollpf 27.11.2007 15:36
C:\WINDOWS\Prefetch\NKOROZNEVW.EXE-0DE3EAD2.pf moved successfully.
C:\WINDOWS\system32\nkoroznevw.dat moved successfully.
C:\WINDOWS\system32\nkoroznevw.exe moved successfully.
C:\WINDOWS\system32\nkoroznevw_nav.dat moved successfully.
C:\WINDOWS\system32\nkoroznevw_navps.dat moved successfully.

werde diese gleich noch bei virustotal scannen und das ergebnis dann posten!

BataAlexander 27.11.2007 15:40
Zitat:
Zitat von murderdollpf (Beitrag 307275)
werde diese gleich noch bei virustotal scannen und das ergebnis dann posten!
Super :daumenhoc

murderdollpf 27.11.2007 15:49
NKOROZNEVW.EXE-0DE3EAD2.pf
AhnLab-V3 2007.11.27.1 2007.11.27 -
AntiVir 7.6.0.34 2007.11.27 -
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.27 -
AVG 7.5.0.503 2007.11.27 -
BitDefender 7.2 2007.11.27 -
CAT-QuickHeal 9.00 2007.11.27 -
ClamAV 0.91.2 2007.11.27 -
DrWeb 4.44.0.09170 2007.11.27 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5329 2007.11.26 -
Ewido 4.0 2007.11.26 -
FileAdvisor 1 2007.11.27 -
Fortinet 3.14.0.0 2007.11.27 -
F-Prot 4.4.2.54 2007.11.27 -
F-Secure 6.70.13030.0 2007.11.27 -
Ikarus T3.1.1.12 2007.11.27 -
Kaspersky 7.0.0.125 2007.11.27 -
McAfee 5171 2007.11.26 -
Microsoft 1.3007 2007.11.27 -
NOD32v2 2688 2007.11.27 -
Norman 5.80.02 2007.11.27 -
Panda 9.0.0.4 2007.11.26 -
Prevx1 V2 2007.11.27 -
Rising 20.20.12.00 2007.11.27 -
Sophos 4.23.0 2007.11.27 -
Sunbelt 2.2.907.0 2007.11.27 -
Symantec 10 2007.11.27 -
TheHacker 6.2.9.142 2007.11.26 -
VBA32 3.12.2.5 2007.11.27 -
VirusBuster 4.3.26:9 2007.11.26 -
Webwasher-Gateway 6.0.1 2007.11.27 -
weitere Informationen
File size: 40420 bytes
MD5: c0a53af7100ebb7a13a8cffa88e3dbae
SHA1: 9de95f2912948a767d00944bc7c1b93bbb228627

Datei nkoroznevw_navps.dat empfangen 2007.11.27 15:48:00 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.27.1 2007.11.27 -
AntiVir 7.6.0.34 2007.11.27 -
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.27 -
AVG 7.5.0.503 2007.11.27 -
BitDefender 7.2 2007.11.27 -
CAT-QuickHeal 9.00 2007.11.27 -
ClamAV 0.91.2 2007.11.27 -
DrWeb 4.44.0.09170 2007.11.27 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5329 2007.11.26 -
Ewido 4.0 2007.11.26 -
FileAdvisor 1 2007.11.27 -
Fortinet 3.14.0.0 2007.11.27 -
F-Prot 4.4.2.54 2007.11.27 -
F-Secure 6.70.13030.0 2007.11.27 -
Ikarus T3.1.1.12 2007.11.27 -
Kaspersky 7.0.0.125 2007.11.27 -
McAfee 5171 2007.11.26 -
Microsoft 1.3007 2007.11.27 -
NOD32v2 2688 2007.11.27 -
Norman 5.80.02 2007.11.27 -
Panda 9.0.0.4 2007.11.26 -
Prevx1 V2 2007.11.27 -
Rising 20.20.12.00 2007.11.27 -
Sophos 4.23.0 2007.11.27 -
Sunbelt 2.2.907.0 2007.11.27 -
Symantec 10 2007.11.27 -
TheHacker 6.2.9.142 2007.11.26 -
VBA32 3.12.2.5 2007.11.27 -
VirusBuster 4.3.26:9 2007.11.26 -
Webwasher-Gateway 6.0.1 2007.11.27 -
weitere Informationen
File size: 1173 bytes
MD5: ebe2336e2c9bcbdfcc1e865cd0c9b1ae
SHA1: 958ff24adc1a32f486506008cba13653ac372f7b

Datei nkoroznevw.exe empfangen 2007.11.27 15:54:11 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.28.0 2007.11.27 -
AntiVir 7.6.0.34 2007.11.27 -
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.27 -
AVG 7.5.0.503 2007.11.27 -
BitDefender 7.2 2007.11.27 -
CAT-QuickHeal 9.00 2007.11.27 -
ClamAV 0.91.2 2007.11.27 -
DrWeb 4.44.0.09170 2007.11.27 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5329 2007.11.26 -
Ewido 4.0 2007.11.26 -
FileAdvisor 1 2007.11.27 -
Fortinet 3.14.0.0 2007.11.27 -
F-Prot 4.4.2.54 2007.11.27 -
F-Secure 6.70.13030.0 2007.11.27 -
Ikarus T3.1.1.12 2007.11.27 -
Kaspersky 7.0.0.125 2007.11.27 -
McAfee 5171 2007.11.26 -
Microsoft 1.3007 2007.11.27 -
NOD32v2 2688 2007.11.27 -
Norman 5.80.02 2007.11.27 -
Panda 9.0.0.4 2007.11.26 Adware/NaviPromo
Prevx1 V2 2007.11.27 Heuristic: Suspicious File With Outbound Communications
Rising 20.20.12.00 2007.11.27 -
Sophos 4.23.0 2007.11.27 -
Sunbelt 2.2.907.0 2007.11.27 -
Symantec 10 2007.11.27 -
TheHacker 6.2.9.142 2007.11.26 -
VBA32 3.12.2.5 2007.11.27 -
VirusBuster 4.3.26:9 2007.11.26 -
Webwasher-Gateway 6.0.1 2007.11.27 -
weitere Informationen
File size: 280576 bytes
MD5: a35be0ed1efc9df953f2afb392195ab6
SHA1: 49dfdcd086b3c86e6596d3004880614363fd5511

Datei nkoroznevw_nav.dat empfangen 2007.11.27 16:00:54 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.28.0 2007.11.27 -
AntiVir 7.6.0.34 2007.11.27 -
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.27 -
AVG 7.5.0.503 2007.11.27 -
BitDefender 7.2 2007.11.27 -
CAT-QuickHeal 9.00 2007.11.27 -
ClamAV 0.91.2 2007.11.27 -
DrWeb 4.44.0.09170 2007.11.27 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5329 2007.11.26 -
Ewido 4.0 2007.11.26 -
FileAdvisor 1 2007.11.27 -
Fortinet 3.14.0.0 2007.11.27 -
F-Prot 4.4.2.54 2007.11.27 -
F-Secure 6.70.13030.0 2007.11.27 -
Ikarus T3.1.1.12 2007.11.27 -
Kaspersky 7.0.0.125 2007.11.27 -
McAfee 5171 2007.11.26 -
Microsoft 1.3007 2007.11.27 -
NOD32v2 2688 2007.11.27 -
Norman 5.80.02 2007.11.27 -
Panda 9.0.0.4 2007.11.26 -
Prevx1 V2 2007.11.27 -
Rising 20.20.12.00 2007.11.27 -
Sophos 4.23.0 2007.11.27 -
Sunbelt 2.2.907.0 2007.11.27 -
Symantec 10 2007.11.27 -
TheHacker 6.2.9.142 2007.11.26 -
VBA32 3.12.2.5 2007.11.27 -
VirusBuster 4.3.26:9 2007.11.26 -
Webwasher-Gateway 6.0.1 2007.11.27 -
weitere Informationen
File size: 321265 bytes
MD5: 4de3833b7956702b209e5ae9941bd8a7
SHA1: addc429d475a0495fe12681c0cbd97e61c2108be

Datei nkoroznevw.dat empfangen 2007.11.27 16:07:10 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.28.0 2007.11.27 -
AntiVir 7.6.0.34 2007.11.27 -
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.27 -
AVG 7.5.0.503 2007.11.27 -
BitDefender 7.2 2007.11.27 -
CAT-QuickHeal 9.00 2007.11.27 -
ClamAV 0.91.2 2007.11.27 -
DrWeb 4.44.0.09170 2007.11.27 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5329 2007.11.26 -
Ewido 4.0 2007.11.26 -
FileAdvisor 1 2007.11.27 -
Fortinet 3.14.0.0 2007.11.27 -
F-Prot 4.4.2.54 2007.11.27 -
F-Secure 6.70.13030.0 2007.11.27 -
Ikarus T3.1.1.12 2007.11.27 -
Kaspersky 7.0.0.125 2007.11.27 -
McAfee 5171 2007.11.26 -
Microsoft 1.3007 2007.11.27 -
NOD32v2 2688 2007.11.27 -
Norman 5.80.02 2007.11.27 -
Panda 9.0.0.4 2007.11.26 -
Prevx1 V2 2007.11.27 -
Rising 20.20.12.00 2007.11.27 -
Sophos 4.23.0 2007.11.27 -
Sunbelt 2.2.907.0 2007.11.27 -
Symantec 10 2007.11.27 -
TheHacker 6.2.9.142 2007.11.26 -
VBA32 3.12.2.5 2007.11.27 -
VirusBuster 4.3.26:9 2007.11.26 -
Webwasher-Gateway 6.0.1 2007.11.27 -
weitere Informationen
File size: 5003 bytes
MD5: cd7455550e4f2c03df4c7d1040a673ca
SHA1: 1392e5bb4925dd72211a01fada99a448c7755c77

BataAlexander 27.11.2007 16:02
Die anderen Bitte auch noch posten und dann noch mal ein Scan mit Sophos.

- Gehe zu Sophos - (Anleitung) und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
- Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
- Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
- Lass unter Area alles angehackt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". LAsse alle Funde entfernen Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
- Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten. (thx Argos)

murderdollpf 27.11.2007 16:24
Sophos Anti-Rootkit Version 1.3 (data 1.06) (c) 2006 Sophos Plc
Started logging on 27.11.2007 at 16:16:20
Stopped logging on 27.11.2007 at 16:20:56



hatte keine Funde!


Alle Logs vom Virustotal scan unten gepostet.

BataAlexander 27.11.2007 16:29
Hab ich gesehen, war genau die Infektion die ich vermutete.
Sieht soweit alles gut aus, bitte noch ein neues abschließendes HiJackThis Logfile. :)

murderdollpf 27.11.2007 16:39
Logfile of HijackThis v1.99.1
Scan saved at 16:39:21, on 27.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\mHotkey.exe
C:\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WinRAR\WinRAR.exe
C:\DOKUME~1\Mario\LOKALE~1\Temp\Rar$EX02.859\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [nkoroznevw] c:\windows\system32\nkoroznevw.exe nkoroznevw
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195850783296
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

BataAlexander 27.11.2007 16:45
Fixe noch den Eintrag

O4 - HKLM\..\Run: [nkoroznevw] c:\windows\system32\nkoroznevw.exe nkoroznevw

Dann sollte alles weg sein. Was machen die Pop Ups?

Um Dein System vor zukünfigen Infektionen zu schützen, lies bitte das folgende aufmerksam.

Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst.

Spybot Search & Destroy - Ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren!

AdAware - Ein weiteres "Multi Tool" welches nach bösen Einträgen sucht und diese beseitigt. AdAware und Spybot Search & Destroy vertragen sich bisher noch sehr gut auf einem System.

Nutze standardmäßig einen alternativen Browser, wie zb Firefox oder Opera
Der Internet Explorer sollte nur für das Windows- Officeupdate benutzt werden.
Eine Alternative zu Outlook ist zb Thunderbird.

Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet.

CCleaner Download - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows.

Hier findest Du eine Sammlung(Englisch) von falschen Antivirenprogrammen. Diese Liste ist nicht immer upToDate. Bei Unklarheiten im Forum vor einer Installation nachfragen.

Vorsichtig bleiben. Lade keine Software von dir komplett unbekannten Seiten (zb goldencodecs.com, morefreesoftware.com etc namen ausgedacht, kein zusammenhang mit evtl real existierenden Seiten) und benutze kein p2p um an Software (oder sonst was) zu kommen. Bist du unsicher, ob das geladene Programm sauber ist, dann lade den Installer zb bei virustotal hoch und lass ihn dort überprüfen.
Die meisten Crack/Keylogger/Entsprechende Seiten nehmen im Hintergrund Änderungen am System vor, beinflussen es, oder Installieren Schadsoftware

Keine unbekannten Dateien annehmen und öffnen, weder per Mail noch per MSN/ICQ/Instant Messenger. Auch von Freunden unverlangt erhaltene Dateien immer kritisch nachragen.

Wenn eine Seite dubios aussieht und versucht Dateien auf deinem Rechner zu installieren (sei es zum Video abspielen oder sonstwas), dann vertrau deinem Gefühl und verschwinde.

Hier findest Du aktuelle Sicherheitsmeldungen.

Überprüfe dein System bei Bedarf mit einem On-Demandscanner um eventuelle Befälle aufzuspüren.

Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen.

Generell gilt: Halte immer alle Anwendung auf einem akutellem Stand!

murderdollpf 27.11.2007 16:50
habe das noch gefixed.
kann ich die dateien in dem ot move ordner löschen?

scheint so,als seien die pop ups weg :aplaus:

danke für diese tolle hilfe!!!!

BataAlexander 27.11.2007 16:51
Ja, den gesamten Order c:\_Otmoveit bitte löschen, Papierkorb leeren.
Und Du hast ja auch gut mitgearbeitet!


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131