unerwünschte Toolbar

16.12.2005, 11:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 pitti

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

wende CleanUp an
http://virus-protect.org/cleanup.html

kopiere die 4 Textdateien (2 Monate vom Datum her reichen)
http://virus-protect.org/datfindbat.html

dann loeschen wir die malware und ich erstelle dir eine reg-Dateri...dann ist alles wieder in Ordnung ;)

(ich kann erst morgen wieder nachsehen)...aber dann gebe ich dir die loesung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.12.2005, 14:33
...neu hier

Beiträge: 4
#17 Hallo Sabina,
nachfolgend die Ergebnisse. Mit cleanup habe ich ein Problem. Ich habe alle Einstellungen so vorgenommen, wie auf der Seite beschrieben. Nach dem gefordertem Neustart bleibt das System irgendwie hängen. Benutzeranmeldung, Beginn laden der Einstellungen, mehrere Desktopicon werden nicht mehr geladen und dann ist eine Art Stillstand. Der Taskmanager zeigt 99% Leerlauf. Versuch die Anzeigeeigenschaften aufzurufen, kommt nur noch die Eieruhr. Wenn ich das System dann erneut starte, funktioniert es wieder, denke aber, dass dann auch cleanup verworfen wurde. Ich habe es im abgesicherten und normalen Modus versucht. (Systemwiederherstellung deaktiviert). Was mache ich falsch?

hier die anderen Ergebnisse:
blbeta
12/16/05 13:14:27 [Info]: BlackLight Engine 1.0.30 initialized
12/16/05 13:14:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/16/05 13:14:28 [Note]: 7019 4
12/16/05 13:14:28 [Note]: 7005 0
12/16/05 13:14:36 [Note]: 7006 0
12/16/05 13:14:36 [Note]: 7011 1676
12/16/05 13:14:36 [Note]: FSRAW library version 1.7.1014
12/16/05 13:15:03 [Info]: Hidden file: C:\Programme\CyberLink DVD Solution\PowerDVD\cltest.exe
12/16/05 13:15:03 [Note]: 10002 1
12/16/05 13:15:18 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
12/16/05 13:15:18 [Note]: 10002 1
12/16/05 13:15:22 [Info]: Hidden file: C:\WINDOWS\system32\csvme.exe
12/16/05 13:15:22 [Note]: 7002 32
12/16/05 13:15:22 [Note]: 7003 1
12/16/05 13:15:22 [Note]: 10002 1
12/16/05 13:15:22 [Info]: Hidden file: C:\WINDOWS\system32\dmvvs.exe
12/16/05 13:15:22 [Note]: 7002 32
12/16/05 13:15:22 [Note]: 7003 1
12/16/05 13:15:22 [Note]: 10002 1
12/16/05 13:15:22 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
12/16/05 13:15:22 [Note]: 10002 1
12/16/05 13:15:24 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
12/16/05 13:15:25 [Note]: 10002 1
12/16/05 13:17:53 [Note]: 7007 0

sys.txt
16.12.2005 14:14 0 sys.txt
16.12.2005 14:14 11.359 system.txt
16.12.2005 14:13 132 systemtemp.txt
16.12.2005 14:12 97.216 system32.txt
16.12.2005 14:08 535.351.296 hiberfil.sys
16.12.2005 14:08 805.306.368 pagefile.sys
15.12.2005 16:05 9.903 reflist.dll
15.12.2005 15:32 1.114 smitfiles.txt
12.10.2005 19:51 2.831 AboutBuster 5.1.txt
12.10.2005 19:34 102.400 AboutBuster.exe
10.04.2005 20:44 211 boot.ini
10.04.2005 20:36 47.564 NTDETECT.COM
10.04.2005 20:36 251.184 ntldr

system.txt
16.12.2005 14:09 0 0.log
16.12.2005 14:09 1.248.863 WindowsUpdate.log
16.12.2005 14:09 159 wiadebug.log
16.12.2005 14:09 50 wiaservc.log
16.12.2005 14:08 2.048 bootstat.dat
16.12.2005 14:04 864.044 ntbtlog.txt
16.12.2005 13:59 32.638 SchedLgU.Txt
16.12.2005 13:55 1.315 wincmd.ini
15.12.2005 15:51 612.095 setupapi.log
15.12.2005 15:32 213.265 setupact.log
15.12.2005 14:57 763 win.ini
15.12.2005 09:48 126.779 ntdtcsetup.log
15.12.2005 09:48 243.724 tsoc.log
15.12.2005 09:48 97.212 iis6.log
15.12.2005 09:48 1.393 imsins.log
15.12.2005 09:48 204.200 comsetup.log
15.12.2005 09:48 24.992 ocmsn.log
15.12.2005 09:48 9.854 KB910437.log
15.12.2005 09:48 318.533 ocgen.log
15.12.2005 09:48 31.217 msgsocm.log
15.12.2005 09:48 616.192 FaxSetup.log
15.12.2005 09:48 22.237 updspapi.log
15.12.2005 09:48 1.393 imsins.BAK
15.12.2005 09:48 15.761 KB905915.log
14.12.2005 21:05 202 NeroDigital.ini
14.12.2005 20:40 10.208 ModemLog_Smart Link 56K Modem.txt
11.12.2005 10:20 785 SynInst.log
07.12.2005 07:50 231.339 wmsetup.log
22.11.2005 14:33 316.640 WMSysPr9.prx
10.11.2005 18:50 11.802 KB896424.log

systemtemp.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68C6-5C58

Verzeichnis von C:\DOKUME~1\Chef\LOKALE~1\Temp

system32.txt
15.12.2005 14:58 0 asfiles.txt
15.12.2005 14:54 2.550 Uninstall.ico
15.12.2005 14:54 1.406 Help.ico
15.12.2005 14:54 1.718 Open.ico
15.12.2005 14:54 5.350 IE.ico
15.12.2005 14:54 9.470 Desktop.ico
15.12.2005 14:54 1.718 Quick.ico
15.12.2005 13:10 2.126 wpa.dbl
14.12.2005 21:05 45.568 Thumbs.db
13.12.2005 22:40 302.621 SetupCarnival.exe
13.12.2005 22:40 4 winsub.xml
13.12.2005 22:40 60 svcp.csv
09.12.2005 01:21 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
10.11.2005 18:53 242.328 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
30.10.2005 22:09 381.294 perfh009.dat
30.10.2005 22:09 392.184 perfh007.dat
30.10.2005 22:09 53.708 perfc009.dat
30.10.2005 22:09 64.586 perfc007.dat
30.10.2005 22:09 900.506 PerfStringBackup.INI
Seitenanfang Seitenende
17.12.2005, 01:20
...neu hier

Beiträge: 4
#18 Hallo ihr Lieben, leider habe auch ich das Problem mit der unerwünschten toolbar. Ich bin nicht sehr bewandert, habe aber zumindest verstanden, mit hijackthis ein logfile (was ist das?) zu erstellen. Das kopiere ich jetzt hier rein. Ich würde mich freuen, wenn mir jemand helfen könnte. Vielen Dank im voraus, es grüßt Cachito.
Logfile of HijackThis v1.99.1
Scan saved at 01:18:23, on 17.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\SOINTGR.EXE
C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\WinTV\Ir.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Gert Baumhauer\Desktop\hijackthis[1]\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluecafe-musik.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\plvtx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\plvtx.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{14A54512-4E5A-4985-B74B-CFAC931830E2}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{586A287B-562A-4D83-8EF9-5BEC869D40AC}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{14A54512-4E5A-4985-B74B-CFAC931830E2}: NameServer = 85.255.114.20,85.255.112.82
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
Seitenanfang Seitenende
17.12.2005, 09:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 pitti

gehe in die registry
start-->ausfuehren--> regedit

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Security"<--loeschen
"Source" = "C:\WINDOWS\desktop.html""<--loeschen
"SubscribedURL" = "C:\WINDOWS\desktop.html""<--loeschen


-----------------------------------------------------------------------

doppelklick: blbeta.exe
klicke auf "next" --> Step 2 --> Cleaning ...benenne um in *ren:
dann boote den PC...dann muesste alles umbenannt sein in *ren)

nur diese exe umbenennen:

12/16/05 13:15:22 [Info]: Hidden file: C:\WINDOWS\system32\csvme.exe
12/16/05 13:15:22 [Info]: Hidden file: C:\WINDOWS\system32\dmvvs.exe
12/16/05 13:15:22 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
12/16/05 13:15:24 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe

loeschen: Killbox: http://virus-protect.org/killbox.html
C:\WINDOWS\system32\csjqe.exe
C:\WINDOWS\system32\dmimu.exe
C:\WINDOWS\system32\SetupCarnival.exe
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv

----------------------------------------------------------------------

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

c:\reflist.dll




--------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmimu.exe"=-

in den abgesicherten modus booten und die reg der registry beifuegen

SCANNE MIT DR.WEB
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.12.2005, 19:09
...neu hier

Beiträge: 4
#20 Hallo Sabina,
vielen Dank für die Unterstützung. Ich kann zwar nicht nachvollziehen, welchen Wundermittel hier gekocht wurden, aber ich finde es toll.
Hier nun das Ergebnis:
This is a report processed by VirusTotal on 12/17/2005 at 17:21:53 (CET) after scanning the file "reflist.dll" file.
Antivirus Version Update Result
AntiVir 6.33.0.61 12.16.2005 no virus found
Avast 4.6.695.0 12.16.2005 no virus found
AVG 718 12.15.2005 no virus found
Avira 6.33.0.61 12.16.2005 no virus found
BitDefender 7.2 12.17.2005 no virus found
CAT-QuickHeal 8.00 12.17.2005 no virus found
ClamAV devel-20051108 12.16.2005 no virus found
DrWeb 4.33 12.16.2005 no virus found
eTrust-Iris 7.1.194.0 12.17.2005 no virus found
eTrust-Vet 12.3.3.0 12.16.2005 no virus found
Fortinet 2.54.0.0 12.17.2005 no virus found
F-Prot 3.16c 12.15.2005 no virus found
Ikarus 0.2.59.0 12.17.2005 no virus found
Kaspersky 4.0.2.24 12.17.2005 no virus found
McAfee 4652 12.16.2005 no virus found
NOD32v2 1.1327 12.17.2005 no virus found
Norman 5.70.10 12.16.2005 no virus found
Panda 8.02.00 12.17.2005 no virus found
Sophos 4.01.0 12.17.2005 no virus found
Symantec 8.0 12.17.2005 no virus found
TheHacker 5.9.1.057 12.16.2005 no virus found
VBA32 3.10.5 12.16.2005 no virus found


-----------------------------------------
Ich habe zwar immer noch das Gefühl, dass bei jedem Start neue Dateien hinzukommen. mit Dr.Web habe ich wieder Dateien vorgefunden, die ich glaubte entfernt zu haben. Und noch eine Frage zum Schluss, warum findet der normale Virenscanner (z. Bsp. Antivir) das nicht? Es scheint ja kein Unbekannter zu sein und ich habe mich bisher immer ein wenig darauf verlassen.

MfG pitti
Seitenanfang Seitenende
18.12.2005, 20:04
...neu hier

Beiträge: 4
#21 Hallo, ich habe auf meine Frage von gestern, 17.12. leider keine Reaktion bekommen. Kann ich noch etwas tun, um Hilfe zu erhalten oder soll ich einfach noch abwarten? Gruß vom hoffentlich nicht zu ungeduldigen Cachito!
Seitenanfang Seitenende
18.12.2005, 20:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 cachito

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

wende CleanUp an (genau , wie auf der Seite erklaert)
http://virus-protect.org/cleanup.html

kopiere die 4 Textdateien (2 Monate vom Datum her reichen)
http://virus-protect.org/datfindbat.html
+
Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.12.2005, 20:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 pitti

scanne mit kaspersky und poste den scanbericht
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.12.2005, 00:30
...neu hier

Beiträge: 4
#24 Hallo Sabina, danke für deine Hilfe. Ich habe die Textdatei auf meinem Desktop. Was heißt aber: kopiere sie in deinen Thread? Was ist ein Thread? Sorry, ich kenne mich nicht so gut aus, kopiere mal hier rein. Gruß Cachito
12/19/05 00:27:19 [Info]: BlackLight Engine 1.0.30 initialized
12/19/05 00:27:19 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/19/05 00:27:19 [Note]: 7019 4
12/19/05 00:27:19 [Note]: 7005 0
12/19/05 00:27:30 [Note]: 7006 0
12/19/05 00:27:30 [Note]: 7011 1300
12/19/05 00:27:30 [Note]: FSRAW library version 1.7.1014
12/19/05 00:28:03 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
12/19/05 00:28:03 [Note]: 10002 1
12/19/05 00:28:05 [Info]: Hidden file: C:\WINDOWS\system32\idemlog.exe
12/19/05 00:28:05 [Note]: 10002 1
12/19/05 00:28:06 [Info]: Hidden file: C:\WINDOWS\system32\csrfb.exe
12/19/05 00:28:06 [Note]: 7002 32
12/19/05 00:28:06 [Note]: 7003 1
12/19/05 00:28:06 [Note]: 10002 1
12/19/05 00:28:07 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
12/19/05 00:28:07 [Note]: 10002 1
12/19/05 00:28:10 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
12/19/05 00:28:10 [Note]: 10002 1
12/19/05 00:29:21 [Note]: 7007 0

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CFB-7D17

Verzeichnis von C:\WINDOWS\system32

19.12.2005 00:43 4.984 close.bmp
19.12.2005 00:43 19.712 insurance.bmp
19.12.2005 00:43 11.772 spyware.bmp
19.12.2005 00:43 21.224 xxx.bmp
19.12.2005 00:43 21.872 pharmacy.bmp
19.12.2005 00:43 21.872 dating.bmp
19.12.2005 00:43 23.480 gambling.bmp
19.12.2005 00:43 387 idesk.conf
17.12.2005 00:03 13.738 wpa.dbl
11.12.2005 19:26 155.648 plvtx.dll
07.12.2005 13:38 2.714.976 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
09.11.2005 20:06 330.688 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
04.11.2005 16:27 534.280 LegitCheckControl.DLL
30.10.2005 20:44 315.850 perfh009.dat
30.10.2005 20:44 41.508 perfc009.dat
30.10.2005 20:44 321.606 perfh007.dat
30.10.2005 20:44 50.046 perfc007.dat
30.10.2005 20:44 736.868 PerfStringBackup.INI
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"desktop" = "C:\WINDOWS\system32\idemlog.exe" [empty string]
"UnSpyPC" = ""C:\Programme\UnSpyPC\UnSpyPC.exe"" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe" ["HP"]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"SO5 Integrator Pass Two" = "C:\WINDOWS\SOINTGR.EXE" [null data]
"ABBYY Community Agent" = "C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe" ["ABBYY (BIT Software)"]
"AVSCHED32" = "C:\Programme\AVPersonal\AVSched32.EXE /min" ["H+BEDV Datentechnik GmbH"]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"dmrah.exe" = "C:\WINDOWS\system32\dmrah.exe" [file not found]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{8b15971b-5355-4c82-8c07-7e181ea07608}\(Default) = "Fax"
\StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.UnInstall.PerUser" [MS]
{94de52c8-2d59-4f1b-883e-79663d2d9a8c}\(Default) = "Fax Provider"
\StubPath = "rundll32.exe C:\WINDOWS\System32\Setup\FxsOcm.dll,XP_UninstallProvider" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{08BEC6AA-49FC-4379-3587-4B21E286C19E}\(Default) = "SearchToolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\plvtx.dll" [null data]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A68865DD-EE3C-4442-9BE9-1BAB2576E3FA}" = "NOMAD Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Creative\Creative Zen Touch\NOMAD Explorer\CTJBNS.DLL" ["Creative Technology Ltd"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "cstqm.exe" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies [Description]:
-----------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "NoBandCustomize"=dword:00000001
[disables toolbar status changes in Internet Explorer|View|Toolbars]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Gert Baumhauer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Gert Baumhauer" & "All Users" startup folders:
----------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader.exe" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"AutoStart IR" -> shortcut to: "C:\Programme\WinTV\Ir.exe /QUIET" ["Hauppauge Computer Works"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

"{08BEC6AA-49FC-4379-3587-4B21E286C19E}" = "SearchToolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\plvtx.dll" [null data]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

"{08BEC6AA-49FC-4379-3587-4B21E286C19E}" = "SearchToolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\plvtx.dll" [null data]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

"{08BEC6AA-49FC-4379-3587-4B21E286C19E}" = "SearchToolbar"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\plvtx.dll" [null data]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

Missing lines (compared with English-language version):
HIJACK WARNING! "MGINavigationCanceled" = "C:\Programme\MGI\MGI PhotoSuite 4\Internet\NavigationCanceled.html" [null data]
HIJACK WARNING! "MGIWelcome" = "C:\Programme\MGI\MGI PhotoSuite 4\Internet\W_Welcome.html" [null data]
HIJACK WARNING! "MGIOfflineInformation" = "C:\Programme\MGI\MGI PhotoSuite 4\Internet\OfflineInformation.html" [null data]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\system32\CTsvcCDA.EXE" ["Creative Technology Ltd"]
HTTP-SSL, HTTPFilter, "C:\WINDOWS\System32\svchost.exe -k HTTPFilter" {"C:\WINDOWS\System32\w3ssl.dll" [MS]}
Ulead Burning Helper, UleadBurningHelper, "C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe" ["Ulead Systems, Inc."]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
FRITZ!fax Color Port Monitor\Driver = "FritzColorPort.dll" [file not found]
FRITZ!fax Port Monitor\Driver = "FritzPort.dll" [file not found]
hpzlnt05\Driver = "hpzlnt05.dll" ["HP"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 30 seconds, including 10 seconds for message boxes)
Hoffe, dass ich alles richtig gemacht habe und freue mich über eine Antwort. Jetzt geh ich schlafen, gute Nacht.
Dieser Beitrag wurde am 19.12.2005 um 00:59 Uhr von cachito editiert.
Seitenanfang Seitenende
19.12.2005, 11:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 cachito

kopiere die 4 Textdateien (2 Monate vom Datum her reichen)
http://virus-protect.org/datfindbat.html

Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\


----------------------------------------------------------------------------

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\plvtx.dll




Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"desktop"=-
"UnSpyPC"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmrah.exe"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"


C:\WINDOWS\system32\close.bmp
C:\WINDOWS\system32\insurance.bmp
C:\WINDOWS\system32\spyware.bmp
C:\WINDOWS\system32\xxx.bmp
C:\WINDOWS\system32\pharmacy.bmp
C:\WINDOWS\system32\dating.bmp
C:\WINDOWS\system32\gambling.bmp
C:\WINDOWS\system32\dmrah.exe
C:\WINDOWS\system32\idesk.conf
C:\WINDOWS\system32\plvtx.dll


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten


O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\plvtx.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\plvtx.dll
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O17 - HKLM\System\CCS\Services\Tcpip\..\{14A54512-4E5A-4985-B74B-CFAC931830E2}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{586A287B-562A-4D83-8EF9-5BEC869D40AC}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{14A54512-4E5A-4985-B74B-CFAC931830E2}: NameServer = 85.255.114.20,85.255.112.82

PC neustarten

doppelklick: blbeta.exe
klicke auf "next" --> Step 2 --> Cleaning)--> umbenennen lassen, (ausser C:\WINDOWS\system32\wbem\wbemtest.exe)

dann boote den PC...dann muesste alles (ausser C:\WINDOWS\system32\wbem\wbemtest.exe) umbenannt sein in *ren)

deinstalliere/loesche:
C:\Programme\UnSpyPC


-----------------------------------------------------------------

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

UnSpyPC

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

--------------------------------------------------------------------

Dr.Web
http://virus-protect.org/cureit.html

scanne mit Kaspersky und kopiere den scanreport hier (das ist dein Thread) ;)
http://virus-protect.org/onlinescan.html

..........................
Trojan.Favadd - Trojan.Howiper
http://virus-protect.org/artikel/spyware/idemlog.html

Zitat

I got infected with something called UnSpyPc, which pretends to be an anti-spyware program. I knocked out most of it with adaware, but there is one piece left.

Every time my computer starts, it puts a right navbar/skyscraper type of thing with categories: Gambling, Dating, Pharmacy, XXX, Spyware, and Insurance.




__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.01.2006, 22:10
...neu hier

Beiträge: 4
#26 Hallo Sabina, ich habe inzwischen leider aufgegeben und neu formatiert, mein Verständnis reicht wohl nicht ganz. Dir vielen Dank für die Bemühungen. Gruß Cachito
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: