Pop ups

Cizzar · 22.04.2006, 18:54

Bei mir öffnen sich etwa alle 10 min. ein oder 2 pop ups (www.irgendwas.com/tau.html ist häufig dabei), sogar wenn ich nicht surfe. Hier das Logfile :

Logfile of HijackThis v1.99.1
Scan saved at 19:48:17, on 22.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Tech\Wheel Mouse\5.0\MOUSE32A.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\LeechGet 2005\LeechGet.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\qwertz\Desktop\HijackThis.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Tech\Wheel Mouse\5.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [UnlockerAssistant] C:\Programme\Unlocker\UnlockerAssistant.exe
O4 - HKLM\..\Run: [Install_Choix] D:\choix.exe
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a-squared\a2guard.exe"
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ZyXEL ADSL USB Modem Wizard.LNK = C:\Programme\ZyXEL\DSL Wizard\Setup.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2005\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2005\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2005\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.miniclip.com
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/haphazard/ra...gameloader.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by21fd.bay21.hotmail.msn.com/...s/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1123586333971
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/De...pi/activex.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/605688.exe
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - http://static.zangocash.com/cab/Seek...cbb2c26f9d0e45
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/...chsettings.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by102fd.bay102.hotmail.msn.co...x/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{7115F43A-12E9-43D6-BF57-992D950EC862}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\irn4l55q1.dll
O20 - Winlogon Notify: winnvy32 - winnvy32.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

Hoffe jemand kann mir helfen
Vielen Dank

**Ruby** · 22.04.2006, 18:57

Hallo Cizzar

lade die windatfindbat von unserem Moderator Karl83 (für alle Betriebssysteme) herunter. Bitte auf die Datei klicken, es erscheint ein DOS-Fensterchen, nun wird eine Notepad-Datei unter C:\ erstellt. Bitte von diesem Text die letzten 30 Tage kopieren und hier posten:

C:\
C:\%WinDir%\%System%
C:\%WinDir%
C:\%WinDir%\TEMP

Hinweis:
%WinDir%, %System% sind Variable (?). Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP).

Cizzar · 22.04.2006, 19:04

Hmmm... irgendwie scheint mein TEMP Verzeichnis woanders zu sein als %windir%\TEMP :

Verzeichnis von C:\

22.04.2006 19:58 0 dirdat.txt
22.04.2006 16:49 233'361'408 hiberfil.sys
22.04.2006 16:49 352'321'536 pagefile.sys
22.04.2006 16:19 299'624 WHCC2.exe

Verzeichnis von C:\WINDOWS\system32

22.04.2006 19:55 12'742'206 CnxDslWz.log
22.04.2006 16:54 236'250 guard.tmp
22.04.2006 16:47 234'272 q668lgju16o8.dll
22.04.2006 16:26 0 atmtd.dll.tmp
22.04.2006 16:19 236'250 irn4l55q1.dll
22.04.2006 16:19 687'592 atmtd.dll._
06.04.2006 21:48 5'143'456 MRT.exe
05.04.2006 12:38 1'158 wpa.dbl
30.03.2006 11:26 1'492'480 shdocvw.dll
30.03.2006 03:16 18'944 xpsp3res.dll
27.03.2006 11:11 423'496 perfh009.dat
27.03.2006 11:11 76'846 perfc009.dat
27.03.2006 11:11 443'950 perfh007.dat
27.03.2006 11:11 90'266 perfc007.dat
27.03.2006 11:11 3'184 PerfStringBackup.INI
23.03.2006 22:34 3'074'560 mshtml.dll

Verzeichnis von C:\WINDOWS

22.04.2006 19:58 50'912 iconu.exe
22.04.2006 16:49 159 wiadebug.log
22.04.2006 16:49 1'827'725 WindowsUpdate.log
22.04.2006 16:49 50 wiaservc.log
22.04.2006 16:49 0 0.log
22.04.2006 16:49 2'048 bootstat.dat
22.04.2006 16:47 32'410 SchedLgU.Txt
22.04.2006 16:19 43 drsmartload2.dat
22.04.2006 16:19 0 keyboard131.dat
22.04.2006 16:19 0 newname.dat
22.04.2006 16:18 38'650 sk02.exe
22.04.2006 16:18 336'089 setupapi.log
20.04.2006 22:18 104'738 iis6.log
20.04.2006 22:18 154'635 comsetup.log
20.04.2006 22:18 146'989 ntdtcsetup.log
20.04.2006 22:18 34'578 ocmsn.log
20.04.2006 22:18 279'572 tsoc.log
20.04.2006 22:18 1'917 imsins.log
20.04.2006 22:18 255'476 ocgen.log
20.04.2006 22:18 35'844 msgsocm.log
20.04.2006 22:18 705'290 FaxSetup.log
19.04.2006 09:50 2'032 ModemLog_Agere Systems AC'97 Modem.txt
14.04.2006 18:28 80'826 Choix_Inventel.log
14.04.2006 18:28 1'185'059 Install_Inventel.log
13.04.2006 18:51 32'444 spupdsvc.log
13.04.2006 18:17 1'374 imsins.BAK
13.04.2006 18:17 15'640 KB908531.log
13.04.2006 18:17 30'023 updspapi.log
13.04.2006 18:16 15'036 KB911562.log
13.04.2006 18:15 17'782 KB912812.log
13.04.2006 18:14 18'883 KB911565.log
13.04.2006 18:14 8'647 wmsetup.log
13.04.2006 18:13 13'531 KB911567.log
12.04.2006 16:27 1'440 setupact.log
25.03.2006 10:57 1'409 QTFont.for
25.03.2006 10:57 54'156 QTFont.qfn Verzeichnis von C:\DOKUME~1\qwertz\LOKALE~1\Temp

22.04.2006 19:46 16'384 ~DF7C0D.tmp
22.04.2006 16:19 852'566 cmdinst.exe
22.04.2006 16:07 671'175 _iu14D2N.tmp
22.04.2006 14:13 100'646 java_install_reg.log
17.04.2006 18:23 2'236'900 mpa03156.dcr
17.04.2006 18:23 28'124 AAX2B.tmp
17.04.2006 18:23 1'409 tmp4FD78.FOT
17.04.2006 18:23 1'409 tmp7BD78.FOT
17.04.2006 18:23 28'764 AAX2A.tmp
17.04.2006 18:23 1'409 tmp99D78.FOT
17.04.2006 18:23 27'416 AAX29.tmp
17.04.2006 18:23 13'800 AAX27.tmp
17.04.2006 18:23 1'409 tmp12D78.FOT
17.04.2006 10:21 28'580 mpa00724.dcr
17.04.2006 10:20 12'696 mpa04080.dcr
16.04.2006 16:59 53 99291D23.TMP
15.04.2006 15:57 634'874 hkeTemp0.tmp
15.04.2006 15:56 38'816 AAX21.tmp
15.04.2006 15:56 1'409 tmpC5C3D.FOT
15.04.2006 15:56 1'409 tmpCBB3D.FOT
15.04.2006 15:56 17'032 AAX1F.tmp
15.04.2006 15:56 2'365'129 mpa02092.dcr
14.04.2006 20:11 19'728 AAX1A.tmp
12.04.2006 11:53 2'048'000 Acr40.tmp
11.04.2006 19:14 0 flaC.tmp
10.04.2006 07:08 544 ~fx1E.tmp
10.04.2006 06:55 544 ~fx1D.tmp
09.04.2006 13:26 33'280 ~WRS3731.tmp
09.04.2006 13:25 10'058 ~WRD1836.doc
09.04.2006 13:25 224 mso1842E.htm
09.04.2006 13:25 13'629 mso887A9.htm
09.04.2006 13:24 16'384 ~WRF2247.tmp
09.04.2006 13:18 4'186 mso968FB.htm
09.04.2006 13:18 10'208 mso7E19D.htm
09.04.2006 13:18 223 mso3C372.htm
09.04.2006 13:18 794 mso11A0F.htm
09.04.2006 09:13 717 control.xml
08.04.2006 16:05 0 Acr8.tmp
08.04.2006 16:05 2'048'000 Acr7.tmp
08.04.2006 15:32 878 TWAIN.LOG
08.04.2006 15:32 4 Twain001.Mtx
08.04.2006 15:32 156 Twunk001.MTX
07.04.2006 19:53 797'676 IMT3.xml
07.04.2006 19:53 426 IMT2.xml
07.04.2006 19:53 2'036 IMT1.xml
03.04.2006 22:49 73'785 DW24.tmp
30.03.2006 06:48 544 ~fx142.tmp
26.03.2006 18:27 157'672 MSI43fda.LOG
25.03.2006 20:43 184 ~fx3.tmp
25.03.2006 20:42 659 ~fx2.tmp
25.03.2006 15:56 184 ~fx153.tmp
25.03.2006 15:56 659 ~fx152.tmp
24.03.2006 21:04 0 .ftpquota
22.03.2006 20:45 1'112 MNTMP_101.txt
22.03.2006 20:44 53'248 201.EXE
22.03.2006 20:41 69'632 203.EXE
22.03.2006 20:41 21'504 202.EXE

**Speedy** · 22.04.2006, 19:08

vorreinigung

bitte lade die look2me-destroyer.exe herunter und speichere sie auf deinem desktop.

* schliesse alle anwendungen bevor du weitermachst.
* mach einen doppelklick auf die look2me-destroyer.exe, um sie zu starten.
* setze ein häkchen neben 'Run this program as a task' (lass das programm laufen).
* du wirst einen bericht erhalten, der besagt 'look2me-destroyer will close and re-open in approximately 10 seconds' (der look2me-destroyer wird sich in ungefähr 10 Sekunden schliessen und wieder öffnen). klicke auf ok
* wenn sich der look2me-destroyer wieder öffnet, klicke auf den scan für l2m button, deine desktop iconen werden verschwinden, das ist normal.
* wenn der scan zuende ist, klicke auf den 'remove l2m' button (entferne l2m button).
* du wirst nun einen 'done scanning'(scan ist erledigt) bericht erhalten, klicke ok.
* wenn alles beendet ist, wirst du diesen bericht erhalten: 'done removing infected files! look2me-destroyer will now shutdown your computer' (die infizierten files sind entfernt. der look2me-destroyer wird deinen rechner nun herunterfahren). klicke ok.
* dein rechner wird nun ausgeschaltet.
* stelle deinen computer wieder an.
* bitte kopiere und poste den inhalt des C:\look2me-destroyer.txt logfiles.

für den fall, dass du einen bericht deiner firewall bekommst, dass dieses programm versucht, auf das internet zuzugreifen, erlaube es bitte.

falls du einen runtime error '339' erhältst, lade bitte die MSWINSCK.OCX herunter und gib sie in deinen C:\Windows\System32 ordner.

verwende den smitfraudfix remover nach dieser anleitung (und download), poste nach jedem scan das logfile

download der aktuellen version von clearprog
installieren
starten
einstellungen bearbeiten
ie
- cookie
- temp.
- verlauf
windows
- papierkorb
- windows temp
- systemtemp
eigene ordner
- C:\Temp
- C:\Dokumente und Einstellungen\*profil*\Lokale Einstellungen\Temporary Internet Files
- C:\Dokumente und Einstellungen\*profil*\Lokale Einstellungen\Temp
- C:\Windows\Prefetch
löschen wählen

lass nun windatfindbat neuerlich laufen und poste die logfiles sowie ein aktuelles hjt-logfile

Cizzar · 22.04.2006, 20:07

Hat etwas gedauert aber hier sind die Logs :

L2M Destroyer log :

Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 22.04.2006 20:25:08

Infected! C:\WINDOWS\system32\irn4l55q1.dll
Infected! C:\WINDOWS\system32\irn4l55q1.dll
Infected! C:\WINDOWS\system32\q668lgju16o8.dll
Infected! C:\WINDOWS\system32\guard.tmp

Attempting to delete infected files...

Attempting to delete: C:\WINDOWS\system32\irn4l55q1.dll
C:\WINDOWS\system32\irn4l55q1.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\irn4l55q1.dll
C:\WINDOWS\system32\irn4l55q1.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\q668lgju16o8.dll
C:\WINDOWS\system32\q668lgju16o8.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\guard.tmp Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnceEx

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B762C18B-D51C-44FA-A03E-46C8B983D41D}"
HKCR\Clsid\{B762C18B-D51C-44FA-A03E-46C8B983D41D}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file

Restoring SeDebugPrivilege for Administratoren - Succeeded

Rapport(1).txt :

SmitFraudFix v2.33b

Scan done at 20:41:56.10, 22.04.2006
Run from C:\Dokumente und Einstellungen\qwertz\Desktop\Neu\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\qwertz\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\qwertz\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Rapport(2).txt :

SmitFraudFix v2.33b

Scan done at 20:47:50.80, 22.04.2006
Run from C:\Dokumente und Einstellungen\qwertz\Desktop\Neu\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» End

Hijackthis log :

Logfile of HijackThis v1.99.1
Scan saved at 21:05:00, on 22.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Tech\Wheel Mouse\5.0\MOUSE32A.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\uWDF.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\qwertz\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = server.clarktoyota.com:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Tech\Wheel Mouse\5.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a-squared\a2guard.exe"
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ZyXEL ADSL USB Modem Wizard.LNK = C:\Programme\ZyXEL\DSL Wizard\Setup.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2005\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2005\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2005\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by21fd.bay21.hotmail.msn.com/...s/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1123586333971
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/De...pi/activex.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/605688.exe
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/...chsettings.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by102fd.bay102.hotmail.msn.co...x/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{7115F43A-12E9-43D6-BF57-992D950EC862}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winnvy32 - winnvy32.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

SmitFraudFix :

SmitFraudFix v2.33b

Scan done at 21:06:18.94, 22.04.2006
Run from C:\Dokumente und Einstellungen\qwertz\Desktop\Neu\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\qwertz\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\qwertz\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Cizzar · 22.04.2006, 20:15

Sch****e !

Der letzte Log könnt ihr vergessen, hier der richtige :

Verzeichnis von C:\

22.04.2006 21:13 0 dirdat.txt
22.04.2006 21:06 1'884 rapport.txt
22.04.2006 20:51 233'361'408 hiberfil.sys
22.04.2006 20:51 352'321'536 pagefile.sys
22.04.2006 16:19 299'624 WHCC2.exe
11.03.2006 19:46 24 test.txt
04.03.2006 10:55 211 boot.ini
02.03.2006 18:21 192 persist.dbs
18.05.2005 21:24 3'732 log.txt
16.01.2005 14:12 47'564 NTDETECT.COM
16.01.2005 14:12 251'184 ntldr
29.12.2004 20:50 288 debug.txt
21.03.2002 04:56 0 CONFIG.SYS
21.03.2002 04:56 0 IO.SYS
21.03.2002 04:56 0 MSDOS.SYS
07.11.2001 09:49 878 unattend.txt
18.08.2001 14:00 4'952 bootfont.bin
18.08.2001 14:00 2 oem.tag
18.08.2001 14:00 45'124 Kopie von NTDETECT.COM
23.08.1995 10:20 232'720 OLEAUT32.DLL
14.06.1995 00:30 707'856 VB40032.DLL
14.06.1995 00:30 74'240 OLEPRO32.DLL
14.06.1995 00:30 329'216 MSVCRT30.DLL
23 Datei(en) 587'682'635 Bytes
0 Verzeichnis(se), 14'332'272'640 Bytes frei
Datentr„ger in Laufwerk C: ist 50_01_85
Volumeseriennummer: 4C96-232A

Verzeichnis von C:\WINDOWS\system32

22.04.2006 21:11 12'780'175 CnxDslWz.log
22.04.2006 16:26 0 atmtd.dll.tmp
22.04.2006 16:19 687'592 atmtd.dll._
06.04.2006 21:48 5'143'456 MRT.exe
05.04.2006 12:38 1'158 wpa.dbl
30.03.2006 11:26 1'492'480 shdocvw.dll
30.03.2006 03:16 18'944 xpsp3res.dll
27.03.2006 11:11 423'496 perfh009.dat
27.03.2006 11:11 76'846 perfc009.dat
27.03.2006 11:11 443'950 perfh007.dat
27.03.2006 11:11 90'266 perfc007.dat
27.03.2006 11:11 3'184 PerfStringBackup.INI
23.03.2006 22:34 3'074'560 mshtml.dll

Verzeichnis von C:\WINDOWS

22.04.2006 20:51 159 wiadebug.log
22.04.2006 20:51 1'838'130 WindowsUpdate.log
22.04.2006 20:51 50 wiaservc.log
22.04.2006 20:51 0 0.log
22.04.2006 20:51 2'048 bootstat.dat
22.04.2006 20:48 1'500 setupact.log
22.04.2006 20:47 1'682'310 ntbtlog.txt
22.04.2006 20:44 32'410 SchedLgU.Txt
22.04.2006 19:58 50'912 iconu.exe
22.04.2006 16:19 43 drsmartload2.dat
22.04.2006 16:19 0 keyboard131.dat
22.04.2006 16:19 0 newname.dat
22.04.2006 16:18 38'650 sk02.exe
22.04.2006 16:18 336'089 setupapi.log
20.04.2006 22:18 154'635 comsetup.log
20.04.2006 22:18 104'738 iis6.log
20.04.2006 22:18 146'989 ntdtcsetup.log
20.04.2006 22:18 34'578 ocmsn.log
20.04.2006 22:18 1'917 imsins.log
20.04.2006 22:18 279'572 tsoc.log
20.04.2006 22:18 255'476 ocgen.log
20.04.2006 22:18 35'844 msgsocm.log
20.04.2006 22:18 705'290 FaxSetup.log
19.04.2006 09:50 2'032 ModemLog_Agere Systems AC'97 Modem.txt
14.04.2006 18:28 80'826 Choix_Inventel.log
14.04.2006 18:28 1'185'059 Install_Inventel.log
13.04.2006 18:51 32'444 spupdsvc.log
13.04.2006 18:17 1'374 imsins.BAK
13.04.2006 18:17 15'640 KB908531.log
13.04.2006 18:17 30'023 updspapi.log
13.04.2006 18:16 15'036 KB911562.log
13.04.2006 18:15 17'782 KB912812.log
13.04.2006 18:14 18'883 KB911565.log
13.04.2006 18:14 8'647 wmsetup.log
13.04.2006 18:13 13'531 KB911567.log
17.03.2006 18:42 0 ABox.bup
17.03.2006 18:42 69'632 logon.exe
10.03.2006 08:09 10'350 WGA.log
07.03.2006 21:19 8'192 Thumbs.db
05.03.2006 17:10 249'856 Setup1.exe
05.03.2006 17:10 73'216 temp.001
04.03.2006 10:55 650 win.ini
04.03.2006 10:55 329 system.ini
28.02.2006 19:57 379 wmsetup10.log
28.02.2006 07:06 191 mousom.ini
27.02.2006 17:22 39'424 mtuninst.exe
26.02.2006 18:41 87 fpxpress.ini
26.02.2006 18:41 2'585 OEWABLog.txt
22.02.2006 07:04 14'263 KB911927.log
22.02.2006 07:04 10'429 KB911564.log

Verzeichnis von C:\DOKUME~1\qwertz\LOKALE~1\Temp

*nix*

**Speedy** · 22.04.2006, 20:39

hi

bitte die angeführten dateien in den ordner c:\boese verschieben (kopieren) und an diese adresse(n) gezippt hochladen
anleitung (winxp) zum packen von dateien und wie man das zip-file mit passwortschutz versendet. bitte den link zu diesem beitrag mitversenden !

C:\WINDOWS

22.04.2006 19:58 50'912 iconu.exe
22.04.2006 16:19 43 drsmartload2.dat
22.04.2006 16:19 0 keyboard131.dat
22.04.2006 16:19 0 newname.dat
22.04.2006 16:18 38'650 sk02.exe

diese datei(en) hier bei virustotal oder bei Jotti überprüfen lassen, ergebnis (egal wie es aussieht) posten.

C:\WINDOWS
27.02.2006 17:22 39'424 mtuninst.exe
22.04.2006 19:58 50'912 iconu.exe
22.04.2006 16:18 38'650 sk02.exe

Thema: Pop ups

Themen-Optionen

Pop ups

AW: Pop ups

AW: Pop ups

AW: Pop ups

AW: Pop ups

AW: Pop ups

AW: Pop ups

Aktive Benutzer

Aktive Benutzer

Ähnliche Themen

Probleme mit Pop-Ups und Firefox

AW: Probleme mit Pop-Ups und Firefox

Endlose Pop-Ups und andere schlimme Dinge!

ständige pop-ups

Berechtigungen