intell32.exe + sywsvcs.exe + msupdate32.dll+ Winhound |
|
---|---|
28.11.2005, 09:50
Ehrenmitglied
Beiträge: 29434 |
|
|
|
28.11.2005, 09:55
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#2
Hallo@emiliodilupo
scanne: Hijacker about:blank - se.dll\sp.html http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\konf\LOKALE~1\Temp\se.dll/space.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\konf\LOKALE~1\Temp\se.dll/space.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O2 - BHO: (no name) - {9B1D647D-4FC4-4104-BB12-69216E7E5E49} - (no file) O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file) O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file) O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\sywsvcs.exe O18 - Filter: text/html - {654575C2-B925-4F4D-ADD2-CF1F5A2AF9D6} - (no file) O18 - Filter: text/plain - {654575C2-B925-4F4D-ADD2-CF1F5A2AF9D6} - (no file) O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll O20 - Winlogon Notify: st3 - C:\WINDOWS\q403984.dll PC neustarten wende CleanUp an http://virus-protect.org/cleanup.html kopiere hier die 4 Textdateien ( 3 Monate vom Datum her genuegen) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
28.11.2005, 10:31
Member
Beiträge: 15 |
#3
Hallo Sabina!!
Datentrger in Laufwerk C: ist Programme Volumeseriennummer: 50B3-125E Verzeichnis von C:\WINDOWS\system32 28.11.2005 10:11 7.904 smbios.dat ??????????????? 28.11.2005 07:06 57.390 sywsvcs.exe 28.11.2005 07:06 57.390 ~update.exe 28.11.2005 07:04 2.206 wpa.dbl 25.11.2005 16:47 13 present1.txt 25.11.2005 16:45 604.672 pavD.tmp 25.11.2005 16:38 604.672 pav4EC.tmp 25.11.2005 16:13 604.672 pav166.tmp 25.11.2005 15:51 604.672 pav25.tmp 25.11.2005 15:38 604.672 pav403.tmp 25.11.2005 13:55 604.672 pav11.tmp 25.11.2005 13:50 70.144 st3.dll 25.11.2005 13:49 604.672 pav3.tmp 25.11.2005 12:40 604.672 pavE.tmp 25.11.2005 12:33 604.672 pavA.tmp 25.11.2005 12:29 1 done1 25.11.2005 12:29 46.592 zlbw.dll 25.11.2005 12:28 57.390 ll.exe 25.11.2005 12:28 4 winsub.xml 25.11.2005 12:28 58 svcp.csv 25.11.2005 12:28 16.896 mspostsp.exe 25.11.2005 12:28 33.280 msupdate32.dll |
|
|
28.11.2005, 10:37
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#4
es sind 4 Textdateien --> schau die Anleitung auf meiner Seite
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
28.11.2005, 11:01
Member
Beiträge: 15 |
#5
Sorry!!
wer lesen kann ist klar im vorteil.... Datentrger in Laufwerk C: ist Programme Volumeseriennummer: 50B3-125E Verzeichnis von C:\WINDOWS\system32 28.11.2005 10:11 7.904 smbios.dat 28.11.2005 07:06 57.390 sywsvcs.exe 28.11.2005 07:06 57.390 ~update.exe 28.11.2005 07:04 2.206 wpa.dbl 25.11.2005 16:47 13 present1.txt 25.11.2005 16:45 604.672 pavD.tmp 25.11.2005 16:38 604.672 pav4EC.tmp 25.11.2005 16:13 604.672 pav166.tmp 25.11.2005 15:51 604.672 pav25.tmp 25.11.2005 15:38 604.672 pav403.tmp 25.11.2005 13:55 604.672 pav11.tmp 25.11.2005 13:50 70.144 st3.dll 25.11.2005 13:49 604.672 pav3.tmp 25.11.2005 12:40 604.672 pavE.tmp 25.11.2005 12:33 604.672 pavA.tmp 25.11.2005 12:29 1 done1 25.11.2005 12:29 46.592 zlbw.dll 25.11.2005 12:28 57.390 ll.exe 25.11.2005 12:28 4 winsub.xml 25.11.2005 12:28 58 svcp.csv 25.11.2005 12:28 16.896 mspostsp.exe 25.11.2005 12:28 33.280 msupdate32.dll 07.11.2005 06:47 243.920 FNTCACHE.DAT 03.11.2005 06:49 374.064 perfh009.dat 03.11.2005 06:49 50.532 perfc009.dat 03.11.2005 06:49 384.216 perfh007.dat 03.11.2005 06:49 61.096 perfc007.dat 03.11.2005 06:49 879.678 PerfStringBackup.INI 06.10.2005 08:36 122.880 mapi32.dll 20.09.2005 08:29 180.555 test 20.09.2005 08:02 181.538 CP 1700 29.08.2005 08:04 85.277 PCSuiteP80x.txt 05.08.2005 20:05 516.096 ati2sgag.exe 04.08.2005 07:07 307.200 atiiiexx.dll 04.08.2005 06:27 249.856 ATIDEMGR.dll 04.08.2005 05:46 6.684.672 atioglx1.dll 04.08.2005 04:28 5.005.312 atioglxx.dll 04.08.2005 04:10 205.312 ati2dvag.dll 04.08.2005 04:04 106.496 atipdlxx.dll 04.08.2005 04:04 73.728 Oemdspif.dll 04.08.2005 04:04 25.088 Ati2mdxx.exe 04.08.2005 04:04 39.936 ati2edxx.dll 04.08.2005 04:04 46.080 ati2evxx.dll 04.08.2005 04:02 380.928 ati2evxx.exe 04.08.2005 04:02 53.248 ATIDDC.DLL 04.08.2005 03:54 2.365.472 ati3duag.dll 04.08.2005 03:47 639.872 ativvaxx.dll 04.08.2005 03:34 147.456 atikvmag.dll 04.08.2005 03:08 17.408 atitvo32.dll 04.08.2005 03:02 212.992 ati2cqag.dll 12.07.2005 17:04 23.304 GWFSPidGen.dll 12.07.2005 17:04 520.456 LegitCheckControl.dll Datentrger in Laufwerk C: ist Programme Volumeseriennummer: 50B3-125E Verzeichnis von C:\DOKUME~1\konf\LOKALE~1\Temp 28.11.2005 10:20 16.384 Perflib_Perfdata_898.dat 28.11.2005 10:20 16.384 Perflib_Perfdata_e9c.dat 28.11.2005 10:20 16.384 Perflib_Perfdata_ec8.dat 28.11.2005 10:20 224 WCESCOMM.LOG 4 Datei(en) 49.376 Bytes 0 Verzeichnis(se), 1.922.904.064 Bytes frei Datentrger in Laufwerk C: ist Programme Volumeseriennummer: 50B3-125E Verzeichnis von C:\WINDOWS 28.11.2005 10:11 0 0.log 28.11.2005 10:10 159 wiadebug.log 28.11.2005 10:10 50 wiaservc.log 28.11.2005 10:10 2.048 bootstat.dat 28.11.2005 10:08 32.620 SchedLgU.Txt 28.11.2005 09:54 309 TOBITADD.INI 28.11.2005 09:54 1.033 Tobit.ini 28.11.2005 07:09 140 msicpl.ini 25.11.2005 16:37 852 win.ini 25.11.2005 16:37 246 system.ini 25.11.2005 13:54 13.824 q403984.dll 25.11.2005 13:51 52.736 cc.exe 25.11.2005 12:40 13.824 q368062.dll 25.11.2005 12:28 3.584 uninstIU.exe 25.11.2005 12:28 1.429 warnhp.html 04.11.2005 11:47 2.555.904 TOBITCLT.DLL 31.10.2005 15:50 1.052.672 dvapi32.dll 26.10.2005 09:44 81.920 dvctl32.dll 06.10.2005 13:24 937 Ulead32.ini 21.09.2005 06:58 169 RtlRack.ini 19.09.2005 11:43 2.510 Microsoft.MIF 19.09.2005 11:43 2.464 $_hpcst$.hpc 08.09.2005 06:23 2.778 Korpus.ini 29.08.2005 08:04 841 ODBC.INI 26.08.2005 11:24 8.192 REGULOCS.OLD 24.08.2005 06:19 2.943.885 setupapi.log.0.old 23.08.2005 11:13 4.702 Radio.INI 30.05.2005 15:34 0 mtstack16.INI 04.04.2005 13:06 4.161 ODBCINST.INI Datentrger in Laufwerk C: ist Programme Volumeseriennummer: 50B3-125E Verzeichnis von C:\ 28.11.2005 10:55 0 sys.txt 28.11.2005 10:55 7.000 system.txt 28.11.2005 10:55 474 systemtemp.txt 28.11.2005 10:55 104.860 system32.txt 28.11.2005 10:21 429 datFind.bat 28.11.2005 10:12 7.078 hijackthis.log 28.11.2005 10:10 1.207.959.552 pagefile.sys 28.11.2005 09:25 111.099 PANDA.RPT 25.11.2005 16:47 3.579 smitfiles.txt 25.11.2005 16:37 194 boot.ini 20.09.2005 09:02 2.750 mediabuild.log 23.08.2005 11:13 48 TEMP.~AV 16.08.2005 21:46 194 BOOT.BKK 16.08.2005 20:24 193 ALCxxx-06.log 16.08.2005 20:23 32 VIA3149.log 16.08.2005 20:20 90 VIA0571.log 04.04.2005 13:05 3 TCPCheckResult.txt mfg, Emilio |
|
|
28.11.2005, 11:52
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#6
bevor wir mit der Reinigung beginnen:
C:\WINDOWS\system32\smbios.dat --> rechtsklick--> oeffnen mit--> Texteditor--> kopiere ab, was dort erscheint __________ MfG Sabina rund um die PC-Sicherheit |
|
|
28.11.2005, 12:00
Member
Beiträge: 15 |
#7
Phoenix Technologies, LTD 6.00 PG 13092004 VIA Technologies, Inc. KT600-8237 ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙Desktop KT600-8237 Version Pentium AMD b ˙ûAMD Athlon(tm) XP Ÿ
8-bit Paridad 70 Ns, 60 Ns EDO A0 < SDRAM A1 < SDRAM A2 < Ninguno PCI PCI0 PCI PCI1 PCI PCI2 PCI PCI3 AGP AGP
|
|
|
28.11.2005, 12:03
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#8
Gehe in die Registry
Start-->Ausfuehren--> regedit HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "FriendlyName" = "Warning homepage" <--loeschen "Source" = "C:\WINDOWS\warnhp.html" <--loeschen "SubscribedURL" = "" ----------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\sywsvcs.exe C:\WINDOWS\system32\~update.exe C:\WINDOWS\system32\wpa.dbl C:\WINDOWS\system32\present1.txt C:\WINDOWS\system32\pavD.tmp C:\WINDOWS\system32\pav4EC.tmp C:\WINDOWS\system32\pav166.tmp C:\WINDOWS\system32\pav25.tmp C:\WINDOWS\system32\pav403.tmp C:\WINDOWS\system32\pav11.tmp C:\WINDOWS\system32\st3.dll C:\WINDOWS\system32\pav3.tmp C:\WINDOWS\system32\pavE.tmp C:\WINDOWS\system32\pavA.tmp C:\WINDOWS\system32\done1 C:\WINDOWS\system32\zlbw.dll C:\WINDOWS\system32\ll.exe C:\WINDOWS\system32\winsub.xml C:\WINDOWS\system32\svcp.csv C:\WINDOWS\system32\mspostsp.exe C:\WINDOWS\system32\msupdate32.dll C:\WINDOWS\System32\intell32.exe C:\WINDOWS\q403984.dll C:\WINDOWS\cc.exe C:\WINDOWS\q368062.dll C:\WINDOWS\uninstIU.exe C:\WINDOWS\warnhp.html PC neustarten smitRem TOOL (Entfernungstool) http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread Lade diese zip-Datei, entpacke http://users.telenet.be/bluepatchy/miekiemoes/tools/Psguardregfix.zip - ClickThis.bat (klicken)--> der Editor oeffnet sich (kopiere alles ab und in den Thread vom Sicherheitsforum) - psguardrem.reg (klicken) und der Registry beifuegen scanne mit ewido--> poste den scanreport http://virus-protect.org/ewido.html scanne mit Panda und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
28.11.2005, 12:06
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#9
Zitat emiliodilupo postetehast du sowas bewusst geladen ???? C:\WINDOWS\system32\smbios.dat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
28.11.2005, 13:51
Member
Beiträge: 15 |
#10
Zitat hast du sowas bewusst geladen ????NEIN!! was ist das denn?? |
|
|
28.11.2005, 13:53
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#11
C:\WINDOWS\system32\smbios.dat
dann kopiere es auch in die killbox, zusammen mit den anderen Dateien und loesche es so __________ MfG Sabina rund um die PC-Sicherheit |
|
|
28.11.2005, 14:47
Member
Beiträge: 15 |
#12
---------------------------------------------------------
ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 14:42:54, 28.11.2005 + Report-Checksumme: AEE9FFB6 + Scanergebnis: HKLM\SOFTWARE\Classes\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall -> Spyware.CoolWebSearch : Gesäubert mit Backup C:\Dokumente und Einstellungen\konf\Cookies\konf@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\konf\Cookies\konf@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\konf\Lokale Einstellungen\Temp\Cookies\konf@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Programme\AVPersonal\INFECTED\links.VIR -> Trojan.LowZones.df : Gesäubert mit Backup C:\Programme\AVPersonal\INFECTED\links.VIR00 -> Trojan.LowZones.df : Gesäubert mit Backup G:\Gedöns\PhoneTools\document\recv0357.num -> Adware.SpySheriff : Gesäubert mit Backup G:\Gedöns\PhoneTools\document\send0111.num -> Adware.SpySheriff : Gesäubert mit Backup G:\Gedöns\PhoneTools\document\send0169.num -> Adware.SpySheriff : Gesäubert mit Backup ::Report Ende Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD ........... Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\PSGuard.com ........... Creating dummy .......... Hiving Dummy / Saving Dummyhive .......... Deleting Dummy .......... Adding Dummyhive ........... Deleting ShudderLTD/PSGuard.com ........... Checking if ShudderLTD/PSGuard.com is still present .......... Deleting leftovers in registry .......... Leftovers deleted! Panda erledigt winient.old & mitrem.exe( hacker tool) was sollen wir denn nun machen?? |
|
|
28.11.2005, 18:01
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#13
scanne--> ich moechte immer gern die scanreporte sehen ...vom panda hast du ihn nicht gepostet.....
http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
29.11.2005, 09:40
Member
Beiträge: 15 |
#14
wirklich das ganze Logbuch?
----------------------------------------------------------------------------- Geprüfte Objekte: 204125 Infizierte Objekte gefunden: 0 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 2 Adware-Programm gefunden: 0 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 0 Hacktool-Programm gefunden: 0 Desinfizierte Objekte: 0 Gelöschte Objekte: 0 Umbenannte Objekte: 2 Verschobene Objekte: 0 Ignorierte Objekte: 0 Leistung:: 674 Kb/s Dauer:: 01:24:43 ----------------------------------------------------------------------------- ============================================================================= Gesamte Sitzungsstatistik ============================================================================= Geprüfte Objekte: 204235 Infizierte Objekte gefunden: 0 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 2 Adware-Programm gefunden: 0 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 0 Hacktool-Programm gefunden: 0 Desinfizierte Objekte: 0 Gelöschte Objekte: 0 Umbenannte Objekte: 2 Verschobene Objekte: 0 Ignorierte Objekte: 0 Leistung:: 680 Kb/s Dauer:: 01:24:52 ============================================================================= für den Panda scan.... Sorry, aber ich fand das lobbuch nirgends momentan ist der intell32.exe noch immer aktiv. wird immer rausgekickt von der testversion von ewido Emilio |
|
|
29.11.2005, 10:34
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#15
http://virus-protect.org/silentrunner.html
poste das log vom Silentrunner __________ MfG Sabina rund um die PC-Sicherheit |
|
|
Zitat
__________
MfG Sabina
rund um die PC-Sicherheit