Win32.Propo!downloader

04.07.2005, 11:21
...neu hier

Beiträge: 4
#1 ich habe seit geraumer zeit das problem das e-Trust bei mir den win32.Propo!downloader aufspührt und elliminiert. Leider taucht er aber kurze Zeit später wieder auf. ich schließe daraus das ich einen wurm habe der unerkannt auf meinem system liegt und in regelmäßigen abständen die erwähnte datei produziert.

Ist das problem jemanden bekannt, und wenn wie kann ich dem vermeindlichen wurm den gar ausmachen???

Frank
Seitenanfang Seitenende
04.07.2005, 14:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@

HijackThis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.07.2005, 12:03
...neu hier

Themenstarter

Beiträge: 4
#3 Logfile of HijackThis v1.99.1
Scan saved at 12:02:05, on 05.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Winamp\Winampa.exe
D:\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
D:\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\WINDOWS\system32\sig6mon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\shipro32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
d:\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\WINDOWS\System32\nvsvc32.exe
d:\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
D:\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\Programme\Aprps\CxtPls.exe
D:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/
O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\Aprps\cxtpls.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Windows Desktop Daemon] winpadg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [b657hj0e] C:\WINDOWS\System32\b657hj0e.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [CaAvTray] "d:\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "d:\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [w74P3nV] sig6mon.exe
O4 - HKLM\..\RunServices: [Windows Desktop Daemon] winpadg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [hwvFRhZ8R] shipro32.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "D:\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117573675540
O23 - Service: CAISafe - Computer Associates International, Inc. - d:\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - d:\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
Seitenanfang Seitenende
05.07.2005, 15:48
Member
Avatar Gool

Beiträge: 4730
#4 Untersuchen:
winpadg.exe (danach suchen, sollte sich aber im System32-Ordner befinden)
C:\WINDOWS\system32\shipro32.exe
C:\WINDOWS\System32\b657hj0e.exe
sig6mon.exe (danach suchen)
bei http://www.virustotal.com hochladen und überprüfen lassen.

Aber ich schätze, diese Dateien sind alles Viren-Dateien und Dein System muss gründlich gesäubert - oder formatiert werden.

Böse und sollte gefixt werden:
C:\Programme\Aprps\CxtPls.exe
O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\Aprps\cxtpls.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
05.07.2005, 18:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Start -- Ausfuehren -- schreib rein: cmd

kopiere rein:
sc stop hwclock
klicke "enter"

und warte ein bisschen, dann kopiere rein:
sc delete hwclock
klicke "enter"

kopiere rein:
del C:\WINDOWS\System32\hwclock.exe
Klicke "enter

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HWCLOCK]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hwclock]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock]



#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Windows Desktop Daemon] winpadg.exe
O4 - HKLM\..\Run: [b657hj0e] C:\WINDOWS\System32\b657hj0e.exe
O4 - HKLM\..\Run: [w74P3nV] sig6mon.exe
O4 - HKLM\..\RunServices: [Windows Desktop Daemon] winpadg.exe
O4 - HKCU\..\Run: [hwvFRhZ8R] shipro32.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).


Die Datei "fixme.reg" auf dem Desktop doppelklicken.
und sofort wieder neustarten

alle diese Dateien loeschen
C:\WINDOWS\System32\hwclock.exe
winpadg.exe
C:\WINDOWS\system32\shipro32.exe
C:\WINDOWS\system32\sig6mon.exe
C:\WINDOWS\System32\b657hj0e.exe

Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 40 Tage aus dem sich öffnenden Editor raus

einzeln in das schwarze DOS-Fenster reinkopieren;)dann öffnet sich der Editor)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

du wirst TFTP..... Dateien finden (C:\Windows\System32 ) loesche sie alle

Beispiel:
18.06.2005 16:04 0 TFTP2580
18.06.2005 01:29 0 TFTP3844
14.06.2005 13:07 0 TFTP3884
13.06.2005 21:15 0 TFTP868
http://virus-protect.org/Artikel/dienste/hwclock.html



und Onlinescans machen (dann alles manuell loeschen, was nicht deinfiziert wird;)
http://virus-protect.org/onlinescan.html

ich kann den Thread dann leider nicht weiter begleiten...gehe in Ferien.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.07.2005, 19:07
...neu hier

Themenstarter

Beiträge: 4
#6 Danke für eure hilfe. Ich hatte das system neu aufgesetzt und noch bevor ich die servicepacks installiert hatte hatte ich die die vieren auf meinem rechner!!! Leder habe ich momentan nicht die Zeit das System gleich nochmals aufzusetzen. Hoffe das ich das problem mit euerer hilfestellung wieder in den griff bekomme. Vielen Dank dafür.
Der von mir benutzte E-Trust Antivierus scheint laut Virustotal meine vieren nicht zu finden, kann mir jemand einj günstiges aber gutes antivierensystem empfehlen?

Mit besten dank
Frank
Seitenanfang Seitenende
05.07.2005, 20:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende
05.12.2005, 12:35
Member
Avatar K-Tierli

Beiträge: 11
#8 Hoy zämmä

Ich greife diesen alten thrend wieder auf, da dieser WIN32 Propo mein System befahlen hat.

Arbeite genau gleich wie mein vor Redner "ffox" mit eTrust (Ver: 7.1.194) wo ich sagen muss. bin von dem begeistert.
jedoch seit einigen wocher verweigert er mir das Update zu holen. obwol ich die "Client" Version hab.

ich hab da mal die Hijacks Log.
es ist mir ein Retzel wieso diese Virus immer wieder kommt.
aufelig ist dabei, das es Regelmässig durch Opera-Browoser ausgelöst wird. (C:\Dokumente und Einstellungen\Seven24\Anwendungsdaten\Opera\Opera\profile\cache4) dieser wird vom mir Regelmässig gelert.
noch irentierenter ist, das wen ich ein Scen mit "Adaware" dürchführe. Virus auch ausgelöst wird.

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 12:28:07, on 05.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\DitExp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\TuneUp Utilities 2004\memoptimizer.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Sprite Software\Sprite Backup\SpriteService.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Winamp\Winamp.exe
C:\Dokumente und Einstellungen\Seven24\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\memoptimizer.exe" autostart
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SpriteService] "C:\Programme\Sprite Software\Sprite Backup\SpriteService.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121295378749
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D2FBCA2-55D7-4969-A0DE-A12A29CE9E06}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D2FBCA2-55D7-4969-A0DE-A12A29CE9E06}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: eTrust Antivirus-RPC-Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus-Echtzeitserver (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus-Jobserver (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
wen Virus Aktiv:
sind semtliche Aplikationen nicht mer aufrufbar.
Arbeitsplatz "Diese Schaltfleche exestiert nicht mer da sie gelöscht wurde"
Start/Programe "Leer"
Opera, verweigert das Speichern von "Favoriten"
nur geöfnete Aplikationen gehen noch teilweise.

nach Neustart, ist alles wieder IO.. für eine kurtze Zeit.


so nun mal einige angaben zu meinem System:
Win XP Pro, SP2, inkl alle notwendigen Hotfix und Patch
Virus: eTrust vo CA
Spayware: Ad-Aware SE Personal, Spybot Search & Destroy
Firewal: Sygate Personal Firewall Platiniun
zusetztlich noch eine Hardware Firewall.

so hof ihr könt mir Helfen.

MfG K-Tierli
__________
"Der Wissende weiss und erkundigt sich, aber der Unwissende weiss nicht einmal, wonach er sich erkundigen soll"
Wer etwas will sucht Wege, wer etwas nicht will findet Gründe.
Seitenanfang Seitenende
05.12.2005, 12:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo K-Tierli

ich kann im Log nichts sehen, also muessen wir tiefer graben ;)
kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2005, 13:05
Member
Avatar K-Tierli

Beiträge: 11
#10 @Sabina

Zitat

Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: 406C-8C9D

Verzeichnis von C:\WINDOWS\system32

05.12.2005 10:46 28'066 nvapps.xml
03.12.2005 12:25 0 h323log.txt
01.12.2005 23:20 2'206 wpa.dbl
15.11.2005 20:14 13'312 ceutil.dll
15.11.2005 19:42 122'880 rapi.dll

09.11.2005 10:02 114'176 FNTCACHE.DAT
02.11.2005 06:34 2'377'568 MRT.exe
30.10.2005 16:59 381'278 perfh009.dat
30.10.2005 16:59 391'968 perfh007.dat
30.10.2005 16:59 53'500 perfc009.dat
30.10.2005 16:59 64'320 perfc007.dat
30.10.2005 16:59 2'748 PerfStringBackup.TMP
30.10.2005 15:19 900'722 PerfStringBackup.INI
13.10.2005 08:11 118'784 sirenacm.dll
13.10.2005 00:12 14'048 spmsg.dll
10.10.2005 01:33 45'640 MsgPlusLoader.dll
08.10.2005 00:31 15'360 BASSMOD.dll
06.10.2005 04:18 280'064 gdi32.dll
06.10.2005 04:08 1'839'616 win32k.sys
04.10.2005 16:26 3'013'120 mshtml.dll
23.09.2005 04:06 8'491'520 shell32.dll
14.09.2005 20:17 53'248 pxhpinst.exe
10.09.2005 02:54 2'067'968 cdosys.dll
03.09.2005 00:53 664'064 wininet.dll
03.09.2005 00:53 251'392 iepeers.dll
03.09.2005 00:53 530'432 mstime.dll
03.09.2005 00:53 55'808 extmgr.dll
03.09.2005 00:53 474'112 shlwapi.dll
03.09.2005 00:53 146'432 msrating.dll
03.09.2005 00:53 1'484'288 shdocvw.dll
03.09.2005 00:53 205'312 dxtrans.dll
03.09.2005 00:53 39'424 pngfilt.dll
03.09.2005 00:53 448'512 mshtmled.dll
03.09.2005 00:53 96'768 inseng.dll
03.09.2005 00:53 605'696 urlmon.dll
03.09.2005 00:53 1'019'904 browseui.dll
03.09.2005 00:53 1'055'744 danim.dll
03.09.2005 00:53 152'064 cdfview.dll
01.09.2005 02:44 292'352 winsrv.dll
01.09.2005 02:44 19'968 linkinfo.dll
30.08.2005 04:55 1'292'800 quartz.dll
23.08.2005 04:39 124'416 umpnpmgr.dll
22.08.2005 19:31 197'632 netman.dll
11.08.2005 16:11 65'024 nwwks.dll
01.08.2005 10:19 37 oeminfo.ini
01.08.2005 10:18 21'598 oemlogo.bmp
26.07.2005 05:39 37'888 olecnv32.dll
26.07.2005 05:39 74'752 olecli32.dll
26.07.2005 05:39 397'824 rpcss.dll
26.07.2005 05:39 11'776 xolehlp.dll
26.07.2005 05:39 101'376 txflog.dll
26.07.2005 05:39 1'285'120 ole32.dll
26.07.2005 05:39 91'136 mtxoci.dll
26.07.2005 05:39 66'560 mtxclu.dll
26.07.2005 05:39 161'280 msdtcuiu.dll
26.07.2005 05:39 945'152 msdtctm.dll
26.07.2005 05:39 425'472 msdtcprx.dll
26.07.2005 05:39 243'200 es.dll
26.07.2005 05:39 540'160 comuid.dll
26.07.2005 05:39 1'267'200 comsvcs.dll
26.07.2005 05:39 60'416 colbact.dll
26.07.2005 05:39 498'688 clbcatq.dll
26.07.2005 05:39 97'792 comrepl.dll
26.07.2005 05:39 225'792 catsrv.dll
26.07.2005 05:39 110'080 clbcatex.dll
26.07.2005 05:39 625'152 catsrvut.dll
21.07.2005 18:17 5'120 Thumbs.db
17.07.2005 19:50 176'167 rmoc3260.dll
17.07.2005 19:50 5'632 pndx5032.dll
17.07.2005 19:50 6'656 pndx5016.dll
17.07.2005 19:50 278'528 pncrt.dll
15.07.2005 22:16 178 RAM.log
14.07.2005 20:41 3'799 jupdate-1.5.0_04-b05.log
14.07.2005 08:26 23'392 nscompat.tlb
14.07.2005 08:26 16'832 amcompat.tlb
14.07.2005 08:25 634 InstallUtil.InstallLog
14.07.2005 07:47 90 spupdwxp.log
13.07.2005 22:56 261 $winnt$.inf
13.07.2005 22:53 2'951 CONFIG.NT
13.07.2005 22:52 488 WindowsLogon.manifest


Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: 406C-8C9D

Verzeichnis von C:\DOKUME~1\Seven24\LOKALE~1\Temp

05.12.2005 12:47 0 mplE4.tmp
05.12.2005 11:37 16'384 ~DFBCC.tmp
05.12.2005 10:48 16'384 Perflib_Perfdata_8e4.dat
05.12.2005 10:47 468 WCESCOMM.LOG
05.12.2005 10:47 16'384 Perflib_Perfdata_3a8.dat
05.12.2005 10:46 2'072 jusched.log
05.12.2005 07:38 2'008 WcesView.log
05.12.2005 07:38 16'384 Perflib_Perfdata_6fc.dat
05.12.2005 07:37 9'685 WCESLog.log
04.12.2005 15:12 46'080 ~e5d141.tmp
04.12.2005 15:12 893 TWAIN.LOG
04.12.2005 15:12 2 Twain001.Mtx
04.12.2005 15:12 156 Twunk001.MTX
04.12.2005 15:12 0 Twunk002.MTX
04.12.2005 13:39 59'218 TFR61.tmp
04.12.2005 13:39 56'657 TFR5A.tmp
04.12.2005 13:39 46'660 TFR56.tmp
04.12.2005 13:39 20'560 TFR52.tmp
04.12.2005 13:39 40'950 TFR4E.tmp
04.12.2005 13:39 67'994 TFR4A.tmp
04.12.2005 13:39 46'021 TFR49.tmp
04.12.2005 13:39 67'560 TFR45.tmp
04.12.2005 13:39 21'122 TFR3E.tmp
04.12.2005 13:39 23'427 TFR3A.tmp
04.12.2005 13:39 71'682 TFR36.tmp
04.12.2005 13:39 10'225 TFR32.tmp
04.12.2005 13:39 35'574 TFR2E.tmp
04.12.2005 13:39 32'204 TFR2D.tmp
04.12.2005 13:38 27'777 TFR28.tmp
04.12.2005 13:27 0 fla1F.tmp
04.12.2005 03:15 33'885 WCESMgr.log
03.12.2005 18:13 832 java_install_reg.log
03.12.2005 15:35 16'384 ~DF4644.tmp
03.12.2005 15:35 16'384 ~DF1EAC.tmp
03.12.2005 13:23 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}15928.html
03.12.2005 12:25 16'384 ~DF749D.tmp
03.12.2005 12:25 16'384 ~DF60D5.tmp
05.09.2001 05:23 56'320 Set44.tmp
38 Datei(en) 912'082 Bytes
0 Verzeichnis(se), 26'655'420'416 Bytes frei


Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: 406C-8C9D

Verzeichnis von C:\WINDOWS

05.12.2005 13:02 24 pvYvM
05.12.2005 10:48 1'957'620 WindowsUpdate.log
05.12.2005 10:47 127'010 setupapi.log
05.12.2005 10:47 0 0.log
05.12.2005 10:47 159 wiadebug.log
05.12.2005 10:47 50 wiaservc.log
05.12.2005 10:46 2'048 bootstat.dat
05.12.2005 01:49 32'636 SchedLgU.Txt
03.12.2005 16:07 286'720 iun506.exe
02.12.2005 04:05 66 StationRipper.INI
01.12.2005 22:48 15'367 tabletoc.log
01.12.2005 22:48 92'428 ntdtcsetup.log
01.12.2005 22:48 560'547 iis6.log
01.12.2005 22:48 202'161 tsoc.log
01.12.2005 22:48 1'374 imsins.log
01.12.2005 22:48 151'084 comsetup.log
01.12.2005 22:48 22'127 ocmsn.log
01.12.2005 22:48 4'782 KB909394.log
01.12.2005 22:48 23'470 medctroc.Log
01.12.2005 22:48 54'453 netfxocm.log
01.12.2005 22:48 21'727 msgsocm.log
01.12.2005 22:48 219'641 ocgen.log
01.12.2005 22:48 417'709 FaxSetup.log
01.12.2005 22:48 145'006 msmqinst.log
01.12.2005 22:48 1'374 imsins.BAK
01.12.2005 22:48 4'228 KB894476.log
25.11.2005 21:56 48'443 wmsetup.log
25.11.2005 11:21 725 win.ini
22.11.2005 23:10 34 cdplayer.ini
22.11.2005 06:09 11'962 remapref.ini
09.11.2005 10:01 11'814 KB896424.log
09.11.2005 10:01 19'905 updspapi.log
08.11.2005 11:01 192 winamp.ini
05.11.2005 16:42 109 oodcnt.INI

Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: 406C-8C9D

Verzeichnis von C:\

05.12.2005 13:03 0 sys.txt
05.12.2005 13:02 9'727 system.txt
05.12.2005 13:01 2'161 systemtemp.txt
05.12.2005 13:00 101'305 system32.txt
05.12.2005 10:46 805'306'368 pagefile.sys
03.12.2005 14:09 160'863 SpriteLog.txt
02.12.2005 19:46 211 boot.ini
25.11.2005 16:39 520 hpfr3420.xml
25.11.2005 16:39 4'354 hpfr3425.log
11.11.2005 00:57 1'213 wiederhergestelltes Dokument.txt
31.10.2005 04:17 45'850 RUU.log
17.10.2005 13:41 3'234'168 JBO - Hey Pippi Lang.mp3
14.10.2005 15:20 76 Gmail.url
25.07.2005 18:05 351 PANDA.RPT
16.07.2005 10:45 198'641 setup.inx
15.07.2005 15:48 1'361 CtDrvStp.log
15.07.2005 15:48 97 CtDrvIns.log
15.07.2005 00:03 4'096 VSNAP.IDX
14.07.2005 04:57 47'564 NTDETECT.COM
14.07.2005 04:57 251'184 ntldr
13.07.2005 22:53 0 IO.SYS
13.07.2005 22:53 0 CONFIG.SYS
13.07.2005 22:53 0 AUTOEXEC.BAT
13.07.2005 22:53 0 MSDOS.SYS
18.08.2001 13:00 4'952 bootfont.bin
25 Datei(en) 809'375'062 Bytes
0 Verzeichnis(se), 26'655'338'496 Bytes frei


kan leider bis MI abend nicht mer hier rein. bin im kurtzUrlaub :-)
__________
"Der Wissende weiss und erkundigt sich, aber der Unwissende weiss nicht einmal, wonach er sich erkundigen soll"
Wer etwas will sucht Wege, wer etwas nicht will findet Gründe.
Dieser Beitrag wurde am 05.12.2005 um 13:09 Uhr von K-Tierli editiert.
Seitenanfang Seitenende
05.12.2005, 13:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo K-Tierli

Log Dich mit Deiner E-Mail Adresse bei Malwareupload
http://www.malwareupload.com/
ein und lade die suspekte Datei hoch. Du wirst so schnell wie möglich per E-Mail darüber informiert, ob die Datei wirklich schädlich ist und um welchen Schädling es sich handelt.

C:\WINDOWS\system32\ceutil.dll
C:\WINDOWS\system32\rapi.dll
C:\WINDOWS\pvYvM

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.12.2005, 18:40
Member
Avatar K-Tierli

Beiträge: 11
#12 @Sabina

Mercy, hab mal die Dateien hochgeladen und warte auf Antwort.
sobal ich diese hab, werde ich dies hier posten.

bis dan.. Tea Trinken und abwarten.
__________
"Der Wissende weiss und erkundigt sich, aber der Unwissende weiss nicht einmal, wonach er sich erkundigen soll"
Wer etwas will sucht Wege, wer etwas nicht will findet Gründe.
Seitenanfang Seitenende
08.12.2005, 19:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 K-Tierli

das sieht nach einem Wareout aus, irgendwie sagt mir das mein kleiner Finger.....;)

WinPfind (poste das Log)
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.12.2005, 21:22
Member
Avatar K-Tierli

Beiträge: 11
#14 so erstes Teilergebnis ist eingetroffen:

Zitat

Hallo,
Wir haben Ihre Datei pvYvM überprüft und kamen zu folgendem Ergebnis:
No malware!
was ist ein "Wareout" ???
__________
"Der Wissende weiss und erkundigt sich, aber der Unwissende weiss nicht einmal, wonach er sich erkundigen soll"
Wer etwas will sucht Wege, wer etwas nicht will findet Gründe.
Seitenanfang Seitenende
09.12.2005, 10:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 es wird Apropos, nicht der Wareout sein....., sauber ist der PC auf keinen Fall....mache folgendes:

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

WinPfind (poste das Log)
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: