Home » Viren, Trojaner & Malware Forum » Explorer.exe Fehler in Anwendung » Themenansicht

Explorer.exe Fehler in Anwendung

Thema ist geschlossen!
Thema ist geschlossen!
12.10.2006, 02:14
chriesi
Member

Beiträge: 24
#1 hallo zusammen

1. mein Hijacks-Logfile

Logfile of HijackThis v1.99.1
Scan saved at 01:55:43, on 12.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\HENGEM~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
O2 - BHO: (no name) - {391CB6A1-1EC8-26C3-796F-018E0ED280F4} - C:\WINDOWS\system32\kucsfng.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NI.UWA6PU_0001_N91M2107] "C:\Dokumente und Einstellungen\Bossert\Anwendungsdaten\winantiviruspro2006freeinstall_de[1].exe" -nag
O4 - HKLM\..\Run: [oafkbgl.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\oafkbgl.dll,oznpymd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

2. Cleanup durchgeführt

3. Combofix

Hengemhl - 06-10-12 1:58:27.81 Service Pack 2
ComboFix 06.09.28 - Running from: "C:\Dokumente und Einstellungen\Hengemhl\Eigene Dateien\Software\combofix"

((((((((((((((((((((((((((((((( Files Created from 2006-09-12 to 2006-10-12 ))))))))))))))))))))))))))))))))))


2006-10-12 00:31 93,696 --a------ C:\WINDOWS\system32\oafkbgl.dll
2006-10-12 00:31 72,704 --a------ C:\WINDOWS\system32\kucsfng.dll
2006-10-12 00:31 3,072 --a------ C:\WINDOWS\uninstDsk.exe
2006-09-27 23:25 8,704 --a------ C:\WINDOWS\system32\SpOrder.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-12 01:57 -------- d-------- C:\Programme\CleanUp!
2006-10-12 01:33 -------- d-------- C:\Programme\Online-Dienste
2006-10-09 10:45 -------- d-------- C:\Programme\FreePDF
2006-10-06 09:20 -------- d---s---- C:\Dokumente und Einstellungen\Hengemhl\Anwendungsdaten\Microsoft
2006-10-05 15:02 -------- d-------- C:\Programme\LitexMedia
2006-09-28 07:58 -------- d-------- C:\Programme\Yahoo!
2006-09-28 07:53 -------- d-------- C:\Programme\ewido anti-malware
2006-09-27 23:39 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-23 12:56 -------- d-------- C:\Dokumente und Einstellungen\Hengemhl\Anwendungsdaten\Apple Computer
2006-09-14 12:16 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-08-25 14:07 -------- d-------- C:\Programme\TI Education
2006-08-25 14:07 -------- d-------- C:\Programme\Gemeinsame Dateien\TI Shared
2006-08-25 14:06 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-08-22 17:50 -------- d-------- C:\Programme\QuickTime
2006-08-21 15:44 -------- d-------- C:\Programme\Windows Media Player
2006-08-21 14:45 203776 --a------ C:\WINDOWS\system32\clrviddc.dll
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_03\\bin\\jusched.exe"
"SigmatelSysTrayApp"="stsystra.exe"
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"DVDLauncher"="\"C:\\Programme\\CyberLink\\PowerDVD\\DVDLauncher.exe\""
"DMXLauncher"="C:\\Programme\\Dell\\Media Experience\\DMXLauncher.exe"
"dla"="C:\\WINDOWS\\system32\\dla\\tfswctrl.exe"
"ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"BJCFD"="C:\\Programme\\BroadJump\\Client Foundation\\CFD.exe"
"HP Component Manager"="\"C:\\Programme\\HP\\hpcoretech\\hpcmpmgr.exe\""
"HP Software Update"="C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe"
"FreePDFAssistent"="C:\\Programme\\FreePDF\\FreePDFA.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"NI.UWA6PU_0001_N91M2107"="\"C:\\Dokumente und Einstellungen\\Bossert\\Anwendungsdaten\\winantiviruspro2006freeinstall_de[1].exe\" -nag "
"oafkbgl.dll"="C:\\WINDOWS\\system32\\rundll32.exe C:\\WINDOWS\\system32\\oafkbgl.dll,oznpymd"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\WINDOWS\\warnhp.html"
"SubscribedURL"=""
"FriendlyName"="Desktop Uninstall"
"Flags"=dword:00002002
"Position"=hex:2c,00,00,00,00,00,00,00,00,00,00,00,00,04,00,00,e2,02,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:02,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,02,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoCDBurning"=dword:00000000
"AllowLegacyWebView"=dword:00000001
"AllowUnhashedWebView"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 12.10.2006 1:59:01.03
ComboFix.txt
ComboFix2.txt
ComboFix3.txt


4. Logfiles

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC2B-9ACE

Verzeichnis von C:\WINDOWS\system32

12.10.2006 01:14 2'206 wpa.dbl
12.10.2006 00:31 72'704 kucsfng.dll
12.10.2006 00:31 93'696 oafkbgl.dll
28.09.2006 19:57 2'550 Uninstall.ico
28.09.2006 19:57 1'406 Help.ico
28.09.2006 19:57 30'590 pavas.ico
11.09.2006 19:37 8'960'936 MRT.exe
02.09.2006 08:12 54'280 perfc009.dat
02.09.2006 08:12 396'012 perfh007.dat
02.09.2006 08:12 384'596 perfh009.dat
02.09.2006 08:12 65'470 perfc007.dat
02.09.2006 08:12 911'074 PerfStringBackup.INI
26.08.2006 20:37 272'576 FNTCACHE.DAT
21.08.2006 15:44 16'832 amcompat.tlb
21.08.2006 15:44 23'392 nscompat.tlb
21.08.2006 14:45 203'776 clrviddc.dll
21.08.2006 14:26 16'896 fltlib.dll
21.08.2006 11:14 23'040 fltmc.exe
28.07.2006 13:28 3'075'072 mshtml.dll
27.07.2006 15:25 679'424 inetcomm.dll
25.07.2006 22:33 615'936 urlmon.dll
21.07.2006 10:29 72'704 hlink.dll
14.07.2006 17:38 332'288 netapi32.dll
14.07.2006 17:25 546'304 hhctrl.ocx
13.07.2006 15:34 8'494'592 shell32.dll
05.07.2006 12:55 1'057'792 kernel32.dll
02.07.2006 10:55 565'170 large.bnk
02.07.2006 10:55 278'528 livesnth.dll
02.07.2006 10:55 11'333 cf_lic.txt
26.06.2006 19:40 148'480 dnsapi.dll
26.06.2006 19:40 8'192 rasadhlp.dll
23.06.2006 13:10 18'432 oleext.dll
23.06.2006 13:10 664'576 wininet.dll
23.06.2006 13:10 532'480 mstime.dll
23.06.2006 13:10 146'432 msrating.dll
23.06.2006 13:10 39'424 pngfilt.dll
23.06.2006 13:10 1'494'016 shdocvw.dll



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC2B-9ACE

Verzeichnis von C:\DOKUME~1\HENGEM~1\LOKALE~1\Temp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC2B-9ACE

Verzeichnis von C:\WINDOWS

12.10.2006 01:56 404'760 ntbtlog.txt
12.10.2006 01:31 2'048 bootstat.dat
12.10.2006 01:30 1'171'953 WindowsUpdate.log
12.10.2006 01:14 32'618 SchedLgU.Txt
12.10.2006 01:14 216 wiadebug.log
12.10.2006 01:13 0 0.log
12.10.2006 01:13 50 wiaservc.log
12.10.2006 01:12 827 win.ini
12.10.2006 01:12 227 system.ini
12.10.2006 00:31 3'072 uninstDsk.exe
12.10.2006 00:31 2'104 warnhp.html
11.10.2006 10:00 54'156 QTFont.qfn
06.10.2006 20:16 1'409 QTFont.for
02.07.2006 10:55 44 liveup.ini
10.06.2006 20:40 206 HPGdiPlus.ini
12.01.2006 18:16 1'025 FLOGLW104.INI
16.12.2005 22:43 98 NemAll_Sketching10.INI
03.12.2005 10:12 253'952 Setup1.exe
03.12.2005 10:12 74'752 ST6UNST.EXE
27.11.2005 23:17 4 num41.jbd
27.11.2005 23:17 4 info147.sys
13.11.2005 16:17 0 smdat32a.sys
13.11.2005 16:17 10 smdat32m.sys
09.11.2005 21:10 100'724 cpeins04.dat


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC2B-9ACE

Verzeichnis von C:\

12.10.2006 02:03 0 sys.txt
12.10.2006 02:03 4'400 system.txt
12.10.2006 02:03 136 systemtemp.txt
12.10.2006 02:02 101'969 system32.txt
12.10.2006 01:59 7'194 ComboFix.txt
12.10.2006 01:31 1'610'612'736 pagefile.sys
12.10.2006 01:12 211 boot.ini
28.09.2006 16:45 1'103 rapport.txt
28.09.2006 16:23 3'406 avenger.txt
28.09.2006 09:12 7'216 ComboFix2.txt
28.09.2006 08:42 7'201 ComboFix3.txt
08.11.2005 18:35 1'508 _Sid.txt
06.11.2005 20:44 4'128 INFCACHE.1
06.11.2005 20:42 166 ambit.log
25.10.2005 09:54 4'167 dell.sdr
18.08.2004 14:18 0 IO.SYS
18.08.2004 14:18 0 MSDOS.SYS
18.08.2004 14:18 0 CONFIG.SYS
18.08.2004 14:18 0 AUTOEXEC.BAT
04.08.2004 15:00 4'952 bootfont.bin
04.08.2004 15:00 47'564 NTDETECT.COM
04.08.2004 15:00 251'184 ntldr
06.02.2004 18:17 16'384 hpqimgrc.resources.dll
23 Datei(en) 1'611'075'625 Bytes
0 Verzeichnis(se), 141'149'069'312 Bytes frei

5. Problem
wenn ich meinen Rechner starten will, erscheint die Meldung Fehler in Anwendung "Explorer.exe".
Kann nur noch im abgesicherten Modus starten und kann auf diesem Rechner nicht auf Internet zugreifen.

hoffe es kann mir jemand helfen.
es grüsst
chriesi
Seitenanfang Seitenende
12.10.2006, 10:07
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 1.
bringe das proggie mit USB-stick oder Diskette auf den Rechner
scanne mit smitfraud.fix - option 1 und 2 - poste hier beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Desktop Uninstall
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\oafkbgl.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NI.UWA6PU_0001_N91M2107
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{391CB6A1-1EC8-26C3-796F-018E0ED280F4}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{391CB6A1-1EC8-26C3-796F-018E0ED280F4}

Files to delete:
C:\WINDOWS\system32\SpOrder.dll
C:\WINDOWS\system32\kucsfng.dll
C:\WINDOWS\system32\oafkbgl.dll
C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\uninstDsk.exe
C:\WINDOWS\warnhp.html
C:\Dokumente und Einstellungen\Bossert\Anwendungsdaten\winantiviruspro2006freeinstall_de[1].exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.10.2006, 10:48
chriesi
Member

Themenstarter

Beiträge: 24
#3 1. smitfraud

SmitFraudFix v2.100

Scan done at 10:28:52.68, 12.10.2006
Run from C:\Dokumente und Einstellungen\Hengemhl\Eigene Dateien\Software\smitfraud\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\uninstDsk.exe FOUND !
C:\WINDOWS\warnhp.html FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\oleext.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Hengemhl


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Hengemhl\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\HENGEM~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\WINDOWS\\warnhp.html"
"SubscribedURL"=""
"FriendlyName"="Desktop Uninstall"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

C:\WINDOWS\system32\wininet.dll infected !

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll backup

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC2B-9ACE

Verzeichnis von C:\WINDOWS\$hf_mig$\KB896688\SP2QFE

03.09.2005 01:53 666'112 wininet.dll
1 Datei(en) 666'112 Bytes

Verzeichnis von C:\WINDOWS\$hf_mig$\KB896727\SP2QFE

03.07.2005 04:11 665'088 wininet.dll
1 Datei(en) 665'088 Bytes

Verzeichnis von C:\WINDOWS\$hf_mig$\KB905915\SP2QFE

21.10.2005 05:38 667'136 wininet.dll
1 Datei(en) 667'136 Bytes

Verzeichnis von C:\WINDOWS\$hf_mig$\KB912812\SP2QFE

04.03.2006 06:00 669'184 wininet.dll
1 Datei(en) 669'184 Bytes

Verzeichnis von C:\WINDOWS\$hf_mig$\KB916281\SP2QFE

10.05.2006 07:26 669'184 wininet.dll
1 Datei(en) 669'184 Bytes

Verzeichnis von C:\WINDOWS\$hf_mig$\KB918899\SP2QFE

23.06.2006 13:25 670'208 wininet.dll
1 Datei(en) 670'208 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB896688$

03.07.2005 04:15 664'064 wininet.dll
1 Datei(en) 664'064 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB905915$

03.09.2005 01:53 664'064 wininet.dll
1 Datei(en) 664'064 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB912812$

21.10.2005 05:40 664'064 wininet.dll
1 Datei(en) 664'064 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB916281$

04.03.2006 05:34 664'064 wininet.dll
1 Datei(en) 664'064 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB918899$

10.05.2006 07:23 664'064 wininet.dll
1 Datei(en) 664'064 Bytes

Verzeichnis von C:\WINDOWS\system32

23.06.2006 13:10 664'576 wininet.dll
1 Datei(en) 664'576 Bytes

Verzeichnis von C:\WINDOWS\system32\dllcache

23.06.2006 13:10 664'576 wininet.dll
1 Datei(en) 664'576 Bytes

»»»»»»»»»»»»»»»»»»»»»»»» End

Für Option 2 von Smitfraud hat es kein rapport gegeben.

2. Avenger

ÿþL o g f i l e o f T h e A v e n g e r v e r s i o n 1 , b y S w a n d o g 4 6

R u n n i n g f r o m r e g i s t r y k e y :

\ R e g i s t r y \ M a c h i n e \ S y s t e m \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ s r a p j f f k



* * * * * * * * * * * * * * * * * * *



S c r i p t f i l e l o c a t e d a t : \ ? ? \ C : \ W I N D O W S \ s k u o n q w d . t x t

S c r i p t f i l e o p e n e d s u c c e s s f u l l y .



S c r i p t f i l e r e a d s u c c e s s f u l l y



B a c k u p s d i r e c t o r y o p e n e d s u c c e s s f u l l y a t C : \ A v e n g e r



* * * * * * * * * * * * * * * * * * *



B e g i n n i n g t o p r o c e s s s c r i p t f i l e :



F i l e C : \ W I N D O W S \ s y s t e m 3 2 \ S p O r d e r . d l l d e l e t e d s u c c e s s f u l l y .

F i l e C : \ W I N D O W S \ s y s t e m 3 2 \ k u c s f n g . d l l d e l e t e d s u c c e s s f u l l y .

F i l e C : \ W I N D O W S \ s y s t e m 3 2 \ o a f k b g l . d l l d e l e t e d s u c c e s s f u l l y .

F i l e C : \ W I N D O W S \ s y s t e m 3 2 \ a m c o m p a t . t l b d e l e t e d s u c c e s s f u l l y .

F i l e C : \ W I N D O W S \ s y s t e m 3 2 \ n s c o m p a t . t l b d e l e t e d s u c c e s s f u l l y .





F i l e C : \ W I N D O W S \ u n i n s t D s k . e x e n o t f o u n d !

D e l e t i o n o f f i l e C : \ W I N D O W S \ u n i n s t D s k . e x e f a i l e d !



C o u l d n o t p r o c e s s l i n e :

C : \ W I N D O W S \ u n i n s t D s k . e x e

S t a t u s : 0 x c 0 0 0 0 0 3 4







F i l e C : \ W I N D O W S \ w a r n h p . h t m l n o t f o u n d !

D e l e t i o n o f f i l e C : \ W I N D O W S \ w a r n h p . h t m l f a i l e d !



C o u l d n o t p r o c e s s l i n e :

C : \ W I N D O W S \ w a r n h p . h t m l

S t a t u s : 0 x c 0 0 0 0 0 3 4







F i l e C : \ D o k u m e n t e u n d E i n s t e l l u n g e n \ B o s s e r t \ A n w e n d u n g s d a t e n \ w i n a n t i v i r u s p r o 2 0 0 6 f r e e i n s t a l l _ d e [ 1 ] . e x e n o t f o u n d !

D e l e t i o n o f f i l e C : \ D o k u m e n t e u n d E i n s t e l l u n g e n \ B o s s e r t \ A n w e n d u n g s d a t e n \ w i n a n t i v i r u s p r o 2 0 0 6 f r e e i n s t a l l _ d e [ 1 ] . e x e f a i l e d !



C o u l d n o t p r o c e s s l i n e :

C : \ D o k u m e n t e u n d E i n s t e l l u n g e n \ B o s s e r t \ A n w e n d u n g s d a t e n \ w i n a n t i v i r u s p r o 2 0 0 6 f r e e i n s t a l l _ d e [ 1 ] . e x e

S t a t u s : 0 x c 0 0 0 0 0 3 4







R e g i s t r y k e y H K E Y _ L O C A L _ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ U n i n s t a l l \ D e s k t o p U n i n s t a l l n o t f o u n d !

D e l e t i o n o f r e g i s t r y k e y H K E Y _ L O C A L _ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ U n i n s t a l l \ D e s k t o p U n i n s t a l l f a i l e d !

S t a t u s : 0 x c 0 0 0 0 0 3 4







R e g i s t r y k e y H K E Y _ L O C A L _ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ R u n \ o a f k b g l . d l l n o t f o u n d !

D e l e t i o n o f r e g i s t r y k e y H K E Y _ L O C A L _ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ R u n \ o a f k b g l . d l l f a i l e d !

S t a t u s : 0 x c 0 0 0 0 0 3 4







R e g i s t r y k e y H K E Y _ L O C A L _ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ R u n \ N I . U W A 6 P U _ 0 0 0 1 _ N 9 1 M 2 1 0 7 n o t f o u n d !

D e l e t i o n o f r e g i s t r y k e y H K E Y _ L O C A L _ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ R u n \ N I . U W A 6 P U _ 0 0 0 1 _ N 9 1 M 2 1 0 7 f a i l e d !

S t a t u s : 0 x c 0 0 0 0 0 3 4



R e g i s t r y k e y H K E Y _ L O C A L _ M A C H I N E \ S O F T W A R E \ C l a s s e s \ C L S I D \ { 3 9 1 C B 6 A 1 - 1 E C 8 - 2 6 C 3 - 7 9 6 F - 0 1 8 E 0 E D 2 8 0 F 4 } d e l e t e d s u c c e s s f u l l y .

R e g i s t r y k e y H K E Y _ L O C A L _ M A C H I N E \ S o f t w a r e \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ E x p l o r e r \ B r o w s e r H e l p e r O b j e c t s \ { 3 9 1 C B 6 A 1 - 1 E C 8 - 2 6 C 3 - 7 9 6 F - 0 1 8 E 0 E D 2 8 0 F 4 } d e l e t e d s u c c e s s f u l l y .



C o m p l e t e d s c r i p t p r o c e s s i n g .



* * * * * * * * * * * * * * * * * * *



F i n i s h e d ! T e r m i n a t e .

3. jetzt kann ich wieder im "normalen" Modus aufstarten. Es erscheint aber die Meldung Fehler beim Laden von C:/Windows/system32/oafkbgl.dll
Seitenanfang Seitenende
12.10.2006, 13:02
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 chriesi

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {391CB6A1-1EC8-26C3-796F-018E0ED280F4} - C:\WINDOWS\system32\kucsfng.dll

O4 - HKLM\..\Run: [NI.UWA6PU_0001_N91M2107] "C:\Dokumente und Einstellungen\Bossert\Anwendungsdaten\winantiviruspro2006freeinstall_de[1].exe" -nag

O4 - HKLM\..\Run: [oafkbgl.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\oafkbgl.dll,oznpymd
PC neustarten

**
scanne und poste den scanreport - smitfiles.txt
http://virus-protect.org/artikel/tools/smitrem.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.10.2006, 10:25
chriesi
Member

Themenstarter

Beiträge: 24
#5 für HijackThis konnte ich nur

O4 - HKLM\..\Run: [NI.UWA6PU_0001_N91M2107] "C:\Dokumente und Einstellungen\Bossert\Anwendungsdaten\winantiviruspro2006freeinstall_de[1].exe" -nag

anklicken, die beiden anderen habe ich nicht auf der Liste gesehen.

beim scanreport ist die meldung

getsts.exe hat ein Problem festgestellt und muss beendet werden.

aufgetaucht, konnte aber den scan trotzdem weiterführen.

scanbericht:

smitRem © log file
version 3.2

by noahdfear


Microsoft Windows XP [Version 5.1.2600]
"IE"="6.0000"

Running from
C:\Dokumente und Einstellungen\Hengemhl\Eigene Dateien\Software\smitfile\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Appinitdll check ........ Thank you Grinler!

dumphive.exe (C)2000-2004 Markus Stephany
REGEDIT4

[Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

XP Firewall allowed access

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Kazaa\\kazaa.exe"="C:\\Programme\\Kazaa\\kazaa.exe:*:Enabled:Kazaa Media Desktop"
"C:\\Programme\\Microsoft Office\\OFFICE11\\FRONTPG.EXE"="C:\\Programme\\Microsoft Office\\OFFICE11\\FRONTPG.EXE:*:Enabled:Microsoft Office FrontPage"
"C:\\Programme\\Microsoft Office\\OFFICE11\\EXCEL.EXE"="C:\\Programme\\Microsoft Office\\OFFICE11\\EXCEL.EXE:*:Enabled:Microsoft Office Excel"
"C:\\Programme\\HP\\HP Software Update\\HPWUCli.exe"="C:\\Programme\\HP\\HP Software Update\\HPWUCli.exe:*:Enabled:HP Software Update Client"
"C:\\Programme\\Windows Media Player\\wmplayer.exe"="C:\\Programme\\Windows Media Player\\wmplayer.exe:*;)isabled:Windows Media Player"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!


checking for drsmartload2 key


drsmartload2 key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present
Trust Cleaner uninstaller NOT present
SpyHeal uninstaller NOT present
VirusBurst uninstaller NOT present
BraveSentry uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 484 'explorer.exe'
Killing PID 484 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~



~~~ Wininet.dll ~~~

CLEAN! ;)
Seitenanfang Seitenende
13.10.2006, 10:57
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 chriesi

es ist wieder alles in Ordnung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.10.2006, 11:20
chriesi
Member

Themenstarter

Beiträge: 24
#7 vielen herzlichen dank

gruss chriesi
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1