Was ist das für ein Reg-Eintrag???

Dieses Thema Was ist das für ein Reg-Eintrag??? im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Tobi11591, 13. Apr. 2006.

Thema: Was ist das für ein Reg-Eintrag??? vor 2Tagen habe ich mir ein paar Trojaner und den Spysheriff über ein Pop-UP-Fenster eingefangen ......

  1. vor 2Tagen habe ich mir ein paar Trojaner und den Spysheriff über ein Pop-UP-Fenster eingefangen ...

    Infektions-Zeitpunkt: 11.April 2006  ~ 22:30 Uhr


    Naja ich glaube ich habe ds alles auch restlos überstanden aber folgender Registry Eintrag machte mich stutzig (Dieser Eintrag war allerdings schon lange vor der Infektion vorhanden) :

    O4 - HKLM\..\Run: [ScanRegistry] C:\W

    Hier ein HIjackThis log :

    Logfile of HijackThis v1.99.1
    Scan saved at 20:18:04, on 12.04.2006
    Platform: Windows XP  (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
    C:\Programme\avmwlanstick\wlangui.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\Logitech\SetPoint\SetPoint.exe
    C:\Programme\avmwlanstick\WlanNetService.exe
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
    C:\Programme\ICQLite\ICQLite.exe
    C:\Programme\AOL 9.0\waol.exe
    C:\Programme\AOL 9.0\shellmon.exe
    C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\DOKUME~1\kinder\LOKALE~1\Temp\Rar$EX00.927\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [ScanRegistry] C:\W
    O4 - HKLM\..\Run: [FaxCenterServer] C:\Programme\Lexmark Fax Solutions\fm3032.exe /s
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/05d795bf9ad64d9a7417/netzip/RdxIE601.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
    O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FCA41E13-C3FD-4A77-880E-A2F63570E409}: NameServer = 205.188.146.145
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
    O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe








    Das meldete RootkitReveal:




    HKLM\SOFTWARE\Classes\webcal\URL Protocol 15.01.2006 17:43 13 bytes Data mismatch between Windows API and raw hive data.
    C:\Dokumente und Einstellungen\kinder\Anwendungsdaten\ICQLite\Bartcache\194725165\Temp\ICQTempFile29629.tmp 13.04.2006 13:02 6.15 KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temp\TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}10544.html 13.04.2006 13:00 978 bytes Hidden from Windows API.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temp\TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}24803.html 13.04.2006 12:53 978 bytes Visible in Windows API, but not in MFT or directory index.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temp\TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}25717.html 13.04.2006 12:49 978 bytes Visible in Windows API, but not in MFT or directory index.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temp\~DF7326.tmp 13.04.2006 12:14 16.00 KB Visible in Windows API, but not in MFT or directory index.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temp\~DF7331.tmp 13.04.2006 12:14 512 bytes Visible in Windows API, but not in MFT or directory index.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temp\~DF733F.tmp 13.04.2006 12:14 16.00 KB Visible in Windows API, but not in MFT or directory index.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temp\~DF734C.tmp 13.04.2006 12:14 512 bytes Visible in Windows API, but not in MFT or directory index.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temp\~DF735A.tmp 13.04.2006 12:14 16.00 KB Visible in Windows API, but not in MFT or directory index.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temp\~DF7365.tmp 13.04.2006 12:14 512 bytes Visible in Windows API, but not in MFT or directory index.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temp\~DF7373.tmp 13.04.2006 12:14 16.00 KB Visible in Windows API, but not in MFT or directory index.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temp\~DF737E.tmp 13.04.2006 12:14 512 bytes Visible in Windows API, but not in MFT or directory index.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temporary Internet Files\Content.IE5\496VO1EN\aol[5].swf 13.04.2006 12:57 22.24 KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8DINCP6N\aol[2].swf 13.04.2006 12:54 24.98 KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDEJCH4J\aol[6].swf 13.04.2006 13:00 22.28 KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GX234NOP\aol[5].swf 13.04.2006 12:59 24.98 KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IFQFI9IF\aol[7].swf 13.04.2006 12:50 24.98 KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IFQFI9IF\index[1].htm 13.04.2006 13:10 1.76 KB Visible in directory index, but not Windows API or MFT.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KL0N6LQR\aol[3].swf 13.04.2006 12:51 22.28 KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KL0N6LQR\index[1].htm 13.04.2006 13:08 1.76 KB Visible in Windows API, MFT, but not in directory index.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M9OBCVWX\aol[6].swf 13.04.2006 12:58 22.24 KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OXQNKLIJ\aol[6].swf 13.04.2006 12:53 15.28 KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QN1YFAFX\aol[6].swf 13.04.2006 12:52 15.28 KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1KF6Z8B\aol[5].swf 13.04.2006 12:55 22.24 KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\kinder\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YPGZ6TU5\aol[2].swf 13.04.2006 12:56 24.98 KB Hidden from Windows API.


    Spybot und Ad-Aware meldeten Alexa - leider kein Logfile mehr vorhanden  :mad: .


    Diese Datei W kann ich nicht sichtbar machen und auch nicht zum Beispiel bei Jotti uploaden (Dateipfad angegeben)
     
  2. Hi !
    Punkt 1.) Zu wenig Angaben über verw. Hardware und BS.
    2.) Immer nen bissel Geduld und nicht vergessen das hier alles auf freiwilliger Basis geschieht.
    3.) log sieht gut aus bis auf die Einträge ---->
    &--->
    .
    wenn du sie zu ordnen kannst ist's ok. wenn nicht bitte fixen.
    4.) Warum ist dein System nur auf dem SP 1 Stand?

    Wenn du den Eintrag net kennst lösche ihn, zur Sicherheit kannst du den Eintrag als Backup vorher sichern.
    Greetz Uwe ;)
     
  3. Hey Tobi11591

    #Lade dir SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.php auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter,wenn diese Frage o/n kommt muss du mit Taste o beatätigen,

    #PC neustarten
    #Lade dir SmitRem.exe http://noahdfear.geekstogo.com ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

    #Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

    #PC neustarten--> abgesicherter Modus
    Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
    Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

    #PC neustarten--> abgesicherter Modus
    #Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

    #Scane mit Symantec Security Check ---->klicke auf Viren-erkennung (Virus Detection) dann Start. Downloading ActiveX erlauben,das Ergebnis hier posten.

    #Inhalt folgende ordner loeschen:
    C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
    C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
    C:\WINDOWS\temp---> Inhalt löschen
    C:\WINDOWS\Prefetch---> Inhalt löschen

    1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
    Oder unter Start/Programme/Zubehör/Editor
    2. copiere diser Code rein:
    Code:
    reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run >Ihnhalt.txt
    notepad Ihnhalt.txt
    
    3. Speichere die Datei als Ihnhalt.bat auf Desktop
    4.Doppel klick auf diese Datei Ihnhalt.bat & den Inhalt hier posten

    Bitte Folgende Ergebnis posten!
    #PC neustarten:
    #Neue HijackThis Log, den Report des Ewido Scans, & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

    Gruss
    Mopao
     
  4. Warum noch auf SP1 :
    Habe gedacht solange immer alles rund läuft , brauche ich keine Updates , naja das wird gleich erstmal gemacht .


    Registry eintrag :
    C:/W - was ist das denn nun.


    Diese Registry einträge :

    O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455}   (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
    --->T-Online Games

    O17 - HKLM\System\CCS\Services\Tcpip\..\{FCA41E13-C3FD-4A77-880E-A2F63570E409}: NameServer = 205.188.146.145
    --->AOL  


    Mit dem Sheriff :

    Ich hatte den schon zum 2. mal , deswegen hatte ich nur diese
    Warnung -Your Computer is Infected und das ganze Programm nie runtergeldaen (Internetverbindung sofort getrennt) .
    Ich hatte nach der Systemwiederherstellung nur noch folgende Datei finden können : C:/Windows/system32/netsh (oder so war das , wurde aber hundert pro gelöscht)

    Ich habe das auch manuell gelöscht nach einer anleitung .

    Ich habe gehört das beim smitfraudremover was schief laufen kann , deswegen habe ich ngst was falsch zu machen .
    Ist der denn noch da , auch wenn ich die Dateien manuell gelöscht habe .
     
  5. Ich werde das morgen trotzdem alles nach deiner Anleitung machen !
    Hoffentlich geht nichts schief ^^
    Naja wünsch mir glück ^^
     
  6. Und so sieht es jetzt aus :

    Smitfraud :

       smitRem © log file
         version 2.8

         by noahdfear


    Microsoft Windows XP [Version 5.1.2600]

    Running from
    C:\Dokumente und Einstellungen\kinder\Desktop\Smitffraudrem\smitRem

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Pre-run SharedTask Export

    (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
    Copyright(C) 2006 BleepingComputer.com

    Registry Pseudo-Format Mode (Not a valid reg file):

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    {438755C2-A8BA-11D1-B96B-00A0C90312E1}=Browseui preloader
    {8C7461EF-2B13-11d2-BE35-3078302C2030}=Component Categories cache daemon

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @=%SystemRoot%\System32\browseui.dll


    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @=%SystemRoot%\System32\browseui.dll


    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    checking for ShudderLTD key

    ShudderLTD key not present!

    checking for PSGuard.com key


    PSGuard.com key not present!


    checking for WinHound.com key


    WinHound.com key not present!

    spyaxe uninstaller NOT present
    Winhound uninstaller NOT present
    SpywareStrike uninstaller NOT present

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Existing Pre-run Files


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~



    ~~~ Icons in System32 ~~~



    ~~~ Windows directory ~~~



    ~~~ Drive root ~~~


    ~~~ Miscellaneous Files/folders ~~~




    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
    Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
    Killing PID 700->explorer.exe'
    Killing PID 700->explorer.exe'

    Starting registry repairs

    Registry repairs complete

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    SharedTask Export after registry fix

    (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
    Copyright(C) 2006 BleepingComputer.com

    Registry Pseudo-Format Mode (Not a valid reg file):

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    {438755C2-A8BA-11D1-B96B-00A0C90312E1}=Browseui preloader
    {8C7461EF-2B13-11d2-BE35-3078302C2030}=Component Categories cache daemon

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @=%SystemRoot%\System32\browseui.dll


    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @=%SystemRoot%\System32\browseui.dll


    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Deleting files

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

       Remaining Post-run Files


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~



    ~~~ Icons in System32 ~~~



    ~~~ Windows directory ~~~



    ~~~ Drive root ~~~


    ~~~ Miscellaneous Files/folders ~~~


    ~~~ Wininet.dll ~~~

    CLEAN! :)



    Smitfraud Rapport :

    SmitFraudFix v2.29

    Scan done at 17:57:30,54, 14.04.2006
    Run from C:\Dokumente und Einstellungen\kinder\Desktop\SmitfraudFix
    OS: Microsoft Windows XP [Version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Killing process


    »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

    C:\WINDOWS\system32\amcompat.tlb Deleted
    C:\WINDOWS\system32\nscompat.tlb Deleted

    »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


    »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

    Registry Cleaning done.

    »»»»»»»»»»»»»»»»»»»»»»»» End


    Ediwo :


    ---------------------------------------------------------
    ewido anti-malware - Scan Report
    ---------------------------------------------------------

    + Erstellt am: 20:02:58, 14.04.2006
    + Report-Checksumme: FD1CA371

    + Scanergebnis:

    C:\Dokumente und Einstellungen\kinder\Cookies\kinder@2o7[2].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\kinder\Cookies\kinder@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\kinder\Cookies\kinder@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\kinder\Cookies\kinder@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\kinder\Cookies\kinder@com[1].txt -> TrackingCookie.Com : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\kinder\Cookies\kinder@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
    C:\Programme\AOL 9.0\cdegfr -> Dropper.Delf.va : Gesäubert mit Backup
    C:\Programme\AOL 9.0\fdsf -> Not-A-Virus.Hoax.Win32.Renos.bj : Gesäubert mit Backup


    ::Report Ende



    Norton:Nichts mehr gefunden


    HiJack This :

    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\AOL 9.0\waol.exe
    C:\Programme\AOL 9.0\shellmon.exe
    C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Sicherheit\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [ScanRegistry] C:\W
    O4 - HKLM\..\Run: [FaxCenterServer] C:\Programme\Lexmark Fax Solutions\fm3032.exe /s
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/05d795bf9ad64d9a7417/netzip/RdxIE601.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
    O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FCA41E13-C3FD-4A77-880E-A2F63570E409}: NameServer = 205.188.146.145
    O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
    O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



    So , Sytem patche ich morgen , heute kein bock mehr am PC ...


    WAS IST DENN JETZT DAS HIER ???
    O4 - HKLM\..\Run: [ScanRegistry] C:\W
     
  7. Man bemerke dsas ich folgendes vergessen habe :
    :D



    ! REG.EXE VERSION 3.0

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    AOLDialer REG_SZ C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
    NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    nwiz REG_SZ nwiz.exe /install
    ScanRegistry REG_SZ C:\W
    FaxCenterServer REG_SZ C:\Programme\Lexmark Fax Solutions\fm3032.exe /s
    Microsoft Works Update Detection REG_SZ C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
    AVMWlanClient REG_SZ C:\Programme\avmwlanstick\wlangui.exe
    NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    avgnt REG_SZ C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
     
  8. Hey

    O4 - HKLM\..\Run: [ScanRegistry] C:\W ist unötig,wenn du willst kannst du ihn fixen

    Noch Problem?

    Gruss
    Mopao
     
Die Seite wird geladen...

Was ist das für ein Reg-Eintrag??? - Ähnliche Themen

Forum Datum
Software für Partition Verwaltung Software: Empfehlungen, Gesuche & Problemlösungen 29. Nov. 2016
windows für kinder sicher machen ? Windows 10 Forum 11. Nov. 2016
Drucker für Gast freigeben Netzwerk 7. Nov. 2016
Welches Programm für mkv unter Windows? Audio, Video und Brennen 23. Aug. 2016
Software für DVD-Kopien on the fly Software: Empfehlungen, Gesuche & Problemlösungen 29. Juli 2016