Spybot findet ständig neue Probleme

Status
Not open for further replies.
Es kommt darauf an, wie und ob die Malware noch aktiv ist. Ist sie es hilft es nichts, das Problem mit Hijackthis loesen zu wollen....
 
Hallo Ralf,

ich habe nun alles befolgt, was Du mir geschrieben hast. Zunächst poste ich Dir mal einen neuen HiKackThis.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\notepad.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Creative\Shared Files\CamTray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\DOKUME~1\FAM~1.OEZ\LOKALE~1\Temp\Temporäres Verzeichnis 21 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [PD0620 STISvc] RunDLL32.exe P0620Pin.dll,RunDLL32EP 513
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Programme\Creative\Shared Files\CamTray.exe"
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126908950416
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A0FDCDD-C84C-4284-BA8D-31B6CF18C295}: NameServer = 85.255.113.91 85.255.112.180
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O17 ist noch da, aber schau mal die IP an.

2. Fakecodec ist denke ich weg. Zumindest blinkt unten nichts mehr mit irgendwelcher Aufforderung.

3. Ich poste Dir nochmals die letzten 3-4 Monate, wie in der Anleitung beschrieben.

Verzeichnis von C:\

05.11.2006 22:17 43 filelist.txt
05.11.2006 22:01 2.073 rapport.txt
05.11.2006 22:01 536.383.488 hiberfil.sys
05.11.2006 22:01 805.306.368 pagefile.sys
05.11.2006 21:54 268 sqmdata12.sqm
05.11.2006 21:54 244 sqmnoopt12.sqm
05.11.2006 18:31 268 sqmdata11.sqm
05.11.2006 18:31 244 sqmnoopt11.sqm
05.11.2006 00:21 268 sqmdata10.sqm
05.11.2006 00:21 244 sqmnoopt10.sqm
04.11.2006 19:48 244 sqmnoopt09.sqm
04.11.2006 19:48 232 sqmdata09.sqm
04.11.2006 17:01 244 sqmnoopt08.sqm
04.11.2006 17:01 268 sqmdata08.sqm
04.11.2006 14:46 268 sqmdata07.sqm
04.11.2006 14:46 244 sqmnoopt07.sqm
03.11.2006 20:23 268 sqmdata06.sqm
03.11.2006 20:23 244 sqmnoopt06.sqm
03.11.2006 19:46 268 sqmdata05.sqm
03.11.2006 19:46 244 sqmnoopt05.sqm
03.11.2006 19:39 268 sqmdata04.sqm
03.11.2006 19:39 244 sqmnoopt04.sqm
01.11.2006 23:15 268 sqmdata03.sqm
01.11.2006 23:15 244 sqmnoopt03.sqm
01.11.2006 01:59 244 sqmnoopt02.sqm
01.11.2006 01:59 232 sqmdata02.sqm
01.11.2006 01:05 268 sqmdata01.sqm
01.11.2006 01:05 244 sqmnoopt01.sqm
01.11.2006 00:36 268 sqmdata00.sqm
01.11.2006 00:36 244 sqmnoopt00.sqm
31.10.2006 23:46 232 sqmdata19.sqm
31.10.2006 23:46 244 sqmnoopt19.sqm
31.10.2006 23:40 268 sqmdata18.sqm
31.10.2006 23:40 244 sqmnoopt18.sqm
31.10.2006 23:07 268 sqmdata17.sqm
31.10.2006 23:07 244 sqmnoopt17.sqm
31.10.2006 01:54 268 sqmdata16.sqm
31.10.2006 01:54 244 sqmnoopt16.sqm
30.10.2006 01:43 268 sqmdata15.sqm
30.10.2006 01:43 244 sqmnoopt15.sqm
29.10.2006 22:05 268 sqmdata14.sqm
29.10.2006 22:05 244 sqmnoopt14.sqm
29.10.2006 17:06 268 sqmdata13.sqm
29.10.2006 17:06 244 sqmnoopt13.sqm
29.10.2006 17:03 183 LogiSetup.log
09.10.2005 07:30 5.897.262 AVG7DB_F.DAT
03.10.2005 07:00 12.404.209 AVG7QT.DAT
16.09.2005 22:56 211 boot.ini
16.09.2005 22:50 47.564 NTDETECT.COM
16.09.2005 22:50 251.184 ntldr
16.09.2005 22:34 0 MSDOS.SYS
16.09.2005 22:34 0 IO.SYS
16.09.2005 22:34 0 CONFIG.SYS
16.09.2005 22:34 0 AUTOEXEC.BAT
18.08.2001 13:00 4.952 bootfont.bin
55 Datei(en) 1.360.307.669 Bytes
0 Verzeichnis(se), 961.937.408 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8831-C7D7

Verzeichnis von C:\WINDOWS\system32

05.11.2006 22:03 2.206 wpa.dbl
05.11.2006 21:58 0 tmp.txt
05.11.2006 21:58 624 tmp.reg
29.10.2006 09:51 311.740 perfh009.dat
29.10.2006 09:51 40.128 perfc009.dat
29.10.2006 09:51 316.924 perfh007.dat
29.10.2006 09:51 48.354 perfc007.dat
29.10.2006 09:51 723.744 PerfStringBackup.INI
04.10.2006 21:03 9.639.336 MRT.exe
13.09.2006 06:02 1.084.416 msxml3.dll
04.09.2006 07:12 1.494.016 shdocvw.dll
25.08.2006 16:46 617.472 comctl32.dll
21.08.2006 13:26 16.896 fltlib.dll
21.08.2006 10:14 23.040 fltmc.exe
16.08.2006 12:58 100.352 6to4svc.dll
29.07.2006 18:32 48.936 sirenacm.dll
28.07.2006 12:28 3.075.072 mshtml.dll
27.07.2006 14:25 679.424 inetcomm.dll
25.07.2006 21:33 615.936 urlmon.dll
21.07.2006 09:29 72.704 hlink.dll
14.07.2006 16:38 332.288 netapi32.dll
14.07.2006 16:25 546.304 hhctrl.ocx
13.07.2006 14:34 8.494.592 shell32.dll
05.07.2006 11:55 1.057.792 kernel32.dll

Ich hoffe, DU kannst etwas sehen. Ansonsten danke ich für Deine Bemühungen. Ich bin begeistert, wie das alles so funktioniert.

Gruss
Erdem
 
Hat fixwareout etwas gemeldet? Poste einfach den Report von fixwareout, loesche den O17 Eintrag starte neu und schau, ob er sich wieder erstellt.
 
Hallo Ralf,

hier poste ich Dir die Meldung von Fixwareout:

Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1trap
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\2trap
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\DMAFS.EXE 62.007 2004-08-03

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

Wie soll ich den O17 eintrag löschen? Meinst Du mit HiJack fixen?

Gruss
Erdem
 
Das wird die Ursache deines Problems sein: C:\WINDOWS\SYSTEM32\DMAFS.EXE


Loesche dies Datei bitte mit Avenger

Anleitung dazu findest du hier: http://virus-protect.org/artikel/tools/avenger.html

Das script, welches du brauchst, ist dieses innerhalb der "---cut---"

---cut---
files to delete:
C:\WINDOWS\SYSTEM32\DMAFS.EXE
---cut---

Dann neu starten, den "O17" Eintrag fixen, nochmal neu starten und ein neues Hijackthis log erstellen und posten.... Das Avenger log bitte auch.
 
Hallo Ralf,

habe die Anleitung befolgt. Zunächst konnte kein Log von Avenger hergestellt werden.
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!

Nach dem Neustart wollte ich O17 fixen, der war aber schon weg. Der ist nicht mehr da. Ich poste Dir den HiJack-Log:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Creative\Shared Files\CamTray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\WgaTray.exe
C:\DOKUME~1\FAM~1.OEZ\LOKALE~1\Temp\Temporäres Verzeichnis 27 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [PD0620 STISvc] RunDLL32.exe P0620Pin.dll,RunDLL32EP 513
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Programme\Creative\Shared Files\CamTray.exe"
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126908950416
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
Ist das alles ok?

Gruss
Erdem
 
Hallo Ralf,

O17 ist wieder da.

Logfile of HijackThis v1.99.1
Scan saved at 20:33:31, on 10.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Creative\Shared Files\CamTray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\FAM~1.OEZ\LOKALE~1\Temp\Temporäres Verzeichnis 32 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [PD0620 STISvc] RunDLL32.exe P0620Pin.dll,RunDLL32EP 513
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Programme\Creative\Shared Files\CamTray.exe"
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126908950416
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A0FDCDD-C84C-4284-BA8D-31B6CF18C295}: NameServer = 85.255.113.91 85.255.112.180
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

also hat es doch nicht funktioniert.
Gruss
Erdem
 
Hallo Ralf,

ich komme nicht ganz mit. Soll ich dies alles nochmal mit "Avenger" machen und dann im abgesicherten Modus benennen und anschließend dann ein Combofix-Report posten? Ist es so richtig?

Und was meinst Du mit "Teste die umbenannte Datei bitte hier: http://www.virustotal.com/en/indexf.html und sag, was gefunden wurde..."

Gruss
Erdem
 
Hallo Ralf,
muss ab morgen für ne Woche wieder ins Ausland. Ich hoffe, dass ich Dich dann wieder ansprechen kann. Das letzte mal hattest Du gesagt, dass ich ernsthafter dran bleiben muss. :)
Aber wie es so ist, habe auch ich Zeitmangel. Hoffe, Du hilfst mir trotzdem.

Gruss
Erdem
 
Hallo,
habe seit einigen Tagen ziemliche Probleme mit meinem Rechner S&D erkennt immer wieder die selben Sachen ,AntivirPersonal findet jedes mal wenn ich Adware laufen lasse irgendwelche Trojaner...!Obwohl ich sie lösche sind die nach kurzer Zeit wieder da,ich bin total verzweifelt.
Besteht eventuell die Möglichkeit das ich mal die Log File poste und ihr euch das mal angucken könntet?
 
Logfile of HijackThis v1.99.1
Scan saved at 12:11:35, on 17.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\eMule\emule.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A4C9F25-FDAB-422B-A974-AB604E633F2B}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\k0no0a53ed.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Common\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
 
Antivir findet:

TR/Spy.Agent.194073

TR/Dldr.IstBar.2626

TR/Dldr.Small.dib.6

TR/Dldr.Adload.HW

Jedesmal wenn ich Adware laufen lasse entdeckt Antivir diese Trojaner!
 
Status
Not open for further replies.
Back
Top