Problem (Startseite ändert sich von selbst, Pop-Ups)

#91 Hi mein Browser zickt.
Hier mal meine Log file hab schon paar sachen versucht klappt aber ned.
CWshredder adaware escan.

escan findet zwar dateien hab aber kein plan wie ich die kille.

hier mal hijackthis.log

Logfile of HijackThis v1.97.7
Scan saved at 10:19:32, on 24.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\crsrr.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\iprv32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\msmb.exe
C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-aware.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Sanji\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\gyoff.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gyoff.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\gyoff.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gyoff.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\gyoff.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\gyoff.dll/sp.html#11111
O2 - BHO: (no name) - {D6F9CC6E-C899-A041-064C-1A2E04A794C8} - C:\WINDOWS\system32\sdkrp.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Printer Driver Helper Service] C:\WINDOWS\System32\crsrr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iprv32.exe] C:\WINDOWS\system32\iprv32.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Danke schonmal im vorraus.

Grüsse N1kk0

#92 Hallo@N1kk0

aktuelles HijackThis:
http://www.downloads.subratam.org/hijackthis.zip
------------------------------------------------------------------------------
1.Schritt:

<Zuerst HijackThis in einen eigenen permanenten Ordner entpacken. C:\Programme\HijackThis wäre ein guter Platz.
http://www.downloads.subratam.org/hijackthis.zip

<"cwsfix.reg" + "cwsserviceremove.reg downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken.
--> http://d21c.com/Tom41/?D=A

<AboutBuster.zip downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken. AboutBuster starten und updaten. Noch nicht scannen lassen.
--> www.malwarebytes.biz/AboutBuster.zip

<AdAware downloaden, installieren und updaten. Ebenfalls noch nicht scannen lassen.
--> http://www.lavasoft.de/support/download/

2. Schritt:

#Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl ein --> services.msc
suche und deaktiviere:

[Printer Driver Helper Service -->(Service Status" klick "Stop"]

falls du diesen Dienst nicht findest, deaktiviere:

Network Security Service (NSS) -->(Service Status" klick "Stop"

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\gyoff.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gyoff.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\gyoff.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gyoff.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\gyoff.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\gyoff.dll/sp.html#11111
O2 - BHO: (no name) - {D6F9CC6E-C899-A041-064C-1A2E04A794C8} - C:\WINDOWS\system32\sdkrp.dll
O4 - HKLM\..\Run: [Printer Driver Helper Service] C:\WINDOWS\System32\crsrr.exe
O4 - HKLM\..\Run: [iprv32.exe] C:\WINDOWS\system32\iprv32.exe

3. Schritt:
PC neustarten..und
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

4.Schritt:
loesche:
C:\WINDOWS\system32\iprv32.exe
C:\WINDOWS\System32\crsrr.exe
C:\WINDOWS\system32\msmb.exe
C:\WINDOWS\system32\sdkrp.dll

zum Beispiel mit HijackThis:

1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\WINDOWS\system32\iprv32.exe

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein:

C:\WINDOWS\system32\sdkrp.dll
C:\WINDOWS\System32\crsrr.exe
C:\WINDOWS\system32\msmb.exe

Erst beim letzten klickst du "Yes" und startest den PC neu und wieder in den abgesicherten Modus.

5. Schritt:
und dort füge cwsfix.reg" +
"cwsserviceremove.reg durch "yes" der Registry bei und scanne mit
AboutBuster und AdAware.

6.Schritt:
mache ebenfalls im abgesicherten Modus:
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

7. Schritt:
Mache alle CriticalUpdates von Microsoft
-->
www.windowsupdate.com

csrrs.exe Gaobot Trojan.
Spreads in local network via open shares.
Also it uses DCOM RPC vulnerability (135,445 ports) and WebDav vulnerability (port 80).
Allows to control the victim computer by IRC.
Terminates well known antiviral software.
Removal:
install the patches from Microsoft:
http://www.microsoft.com/technet/securit...
http://www.microsoft.com/technet/securit...
http://www.microsoft.com/technet/securit...
http://www.microsoft.com/technet/securit...
http://www.microsoft.com/technet/securit...
http://www.microsoft.com/technet/securit...
http://www.microsoft.com/technet/securit...

8.Schritt:
Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
Dann stelle unter "Internetoption" eine neue Startseite ein und poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#93 Sabina helf mir bitte ich krieg diese schei.. nicht weg immer wieder kommt das

#94 Hallo@Bozoman

ich finde dein Log vom HijackThis nicht. Poste es bitte.

aktuelles HijackThis:
http://www.downloads.subratam.org/hijackthis.zip
1.Log
Lade das Tool HijackThis:-->Button "scan" --> Button "save" --> es öffnet sich das Notepad, nun das
KOMPLETTES Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"--> kopieren

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#95 Vielen, vielen Dank Sabina´

Hier
Logfile of HijackThis v1.97.7
Scan saved at 17:09:39, on 30.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE81.exe
C:\WINDOWS\System32\wdfmgr.exe
D:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\totalcmd\TOTALCMD.EXE
I:\Setup\Virus\HijackThis.exe
C:\WINDOWS\System32\svchost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=6398193
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=6398193
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - D:\Programme\RoboForm\RoboForm.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Messenger\ycomp.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\Programme\RoboForm\RoboForm.dll
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - d:\Programme\Systran\4_0\Premium\IEPlugIn.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Atomuhr Synchronisation] PTBSync.EXE /Start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [SSS7] "C:\Programme\Steganos Security Suite 7\SSS7.exe" -boot
O4 - HKCU\..\Run: [RoboForm] "D:\Programme\RoboForm\RoboTaskBarIcon.exe"
O4 - Startup: OpenOffice.org 1.1.1.lnk = D:\Programme\OpenOffice.org1.1.1\program\quickstart.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: RF - &Formular speichern - file://D:\Programme\RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://D:\Programme\RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://D:\Programme\RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - RoboForm-&Leiste - file://D:\Programme\RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Ausfüllen (HKLM)
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen (HKLM)
O9 - Extra button: Speichern (HKLM)
O9 - Extra 'Tools' menuitem: RF - &Formular speichern (HKLM)
O9 - Extra button: RoboForm (HKLM)
O9 - Extra 'Tools' menuitem: RF - RoboForm-&Leiste (HKLM)
O9 - Extra button: Voiceglo directory (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Postguard (HKLM)
O9 - Extra 'Tools' menuitem: Postguard starten (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: Win32 Classes -
O16 - DPF: {3AEECF42-EFE4-4AC8-AE9E-83C031EC09AB} (GamyunNetToolbar) - http://server.gamyun.net/GamyunIeToolbar.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


mfg
Bozoman

#96 Hallo@Bozoman

HijackThis/1.98.2 : laden (!)
http://www.downloads.subratam.org/hijackthis.zip
----------------------------------------------------------------------------
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=6398193
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=6398193
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - D:\Programme\RoboForm\RoboForm.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\Programme\RoboForm\RoboForm.dll
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (file missing)
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - d:\Programme\Systran\4_0\Premium\IEPlugIn.dll
O4 - HKCU\..\Run: [RoboForm] "D:\Programme\RoboForm\RoboTaskBarIcon.exe"
O8 - Extra context menu item: RF - &Formular speichern - file://D:\Programme\RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://D:\Programme\RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://D:\Programme\RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - RoboForm-&Leiste - file://D:\Programme\RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Ausfüllen (HKLM)
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen (HKLM)
O9 - Extra button: Speichern (HKLM)
O9 - Extra 'Tools' menuitem: RF - &Formular speichern (HKLM)
O9 - Extra button: RoboForm (HKLM)
O9 - Extra 'Tools' menuitem: RF - RoboForm-&Leiste (HKLM)
O9 - Extra button: Voiceglo directory (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Postguard (HKLM)
O9 - Extra 'Tools' menuitem: Postguard starten (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: Win32 Classes -
O16 - DPF: {3AEECF42-EFE4-4AC8-AE9E-83C031EC09AB} (GamyunNetToolbar) - http://server.gamyun.net/GamyunIeToolbar.cab

neustarten

#Deinstallieren:
-->>Systemsteuerung -> Software"
<RoboForm
<GamyunNetToolbar

#Windows\Downloaded Programm Files -->löschen.

#Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und
Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre
Internetdateien auf den Button Cookies löschen.
3.Temporäre Internet-Dateien<Dateien löschen

#Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#öffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
lösche alles , lasse nur stehen:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost

1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\Programme\MySearch\bar\1.bin\S4BAR.DLL

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.

C:\WINDOWS\nsdb\hosts
D:\Programme\RoboForm\RoboForm.dll
d:\Programme\Systran\4_0\Premium\IEPlugIn.dll

Erst beim letzten klickst du "Yes" und startest den PC neu.

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!

falls du keinen Virenscanner hast, lade
#Antivirus (free)
http://www.free-av.de/
und mache einen Komplettscann,

arbeite das ab
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#97 Hallo Sabina.....habe auch ein problem wäre schön wenn du helfen könntest.

Logfile of HijackThis v1.98.2
Scan saved at 04:48:37, on 02.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZENG03.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\RamBooster\Rambooster.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {23511FF8-B6E1-4DF1-A87B-D3BA314481A7} - C:\WINDOWS\System32\pgpdmh.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RamBooster] C:\Programme\RamBooster\Rambooster.exe
O4 - Startup: RAMinator.lnk = C:\Programme\RAMinator\RAMinator.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=fae55a2eadf1eb50d6b8e66a88
4e50a8e5d8b0323c7d0606840b0284676c90913686bd7f1461913daf1cd5520ef42daeb8
ad7fb957ad25436872874ea8238fc4:5d09d33a15a1722a6056772fcbfaa030
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{29F49376-BBB3-4140-8334-4F928DB8B38D}: NameServer = 192.168.122.252,192.168.122.253
O18 - Filter: text/html - {FF20A82F-1DE9-419B-95FA-3620FDDE1E39} - C:\WINDOWS\System32\pgpdmh.dll
O18 - Filter: text/plain - {FF20A82F-1DE9-419B-95FA-3620FDDE1E39} - C:\WINDOWS\System32\pgpdmh.dll

bitte um hilfe. Danke

#98 Hallo@Reigam

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {23511FF8-B6E1-4DF1-A87B-D3BA314481A7} - C:\WINDOWS\System32\pgpdmh.dll
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=fae55a2eadf1eb50d6b8e66a
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O18 - Filter: text/html - {FF20A82F-1DE9-419B-95FA-3620FDDE1E39} - C:\WINDOWS\System32\pgpdmh.dll
O18 - Filter: text/plain - {FF20A82F-1DE9-419B-95FA-3620FDDE1E39} - C:\WINDOWS\System32\pgpdmh.dll

PC neustarten

#Start<Ausfuehren< reinschreiben: cmd:
reinkopieren:
attrib -h %systemroot%\System32\pgpdmh.dll & ren %systemroot%\System32\pgpdmh.dll Badfile.bad
<enter<

#Start<Ausfuehren< reinschreiben: cmd:
reinkopieren:
regsvr32 /u c:\system32\pgpdmh.dll

1.)öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:
C:\WINDOWS\System32\pgpdmh.dll
4.) PC neustarten

#C:\Windows\Downloaded Programm Files --> ALLE löschen.

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!

arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

Dann poste das neue Log vom HijackThis noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#99 hab versucht "attrib -h %systemroot%\System32\pgpdmh.dll & ren %systemroot%\System32\pgpdmh.dll Badfile.bad"
reinzukopieren........da kommt dann immer:"das sytem kann die angegeben datei nich finden"

bei dem "regsvr32 /u c:\system32\pgpdmh.dll" kommt imer:das angegebene modul wurde nich gefunden.....

hast du einen tip?

#100 dann arbeite die anderen Punkte ab.

HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#101 so hab es jetzt durchgearbeitet....hier das neue log file

Logfile of HijackThis v1.99.0
Scan saved at 16:30:39, on 02.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\RamBooster\Rambooster.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\hijackthis199_beta\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RamBooster] C:\Programme\RamBooster\Rambooster.exe
O4 - Startup: RAMinator.lnk = C:\Programme\RAMinator\RAMinator.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{29F49376-BBB3-4140-8334-4F928DB8B38D}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

sieht irgendwie immer noch nich sauber aus oder!?!?!

#102 Hallo@Reigam

Fixe:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

neustarten

und scanne noch mal mit mwav.exe (Escan)

gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken

Extras -> Internetoptionen -> Erweitert -> Sicherheit -> Haken
setzen bei Leeren des Ordners Temporary Internet Files beim
Schließen des Browsers und Verschlüsselte Seiten nicht auf der
Festplatte speichern.

dann stelle eine Startseite ein und poste das Log noch mal. (mit dem IE)
_________________________________________________

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#103 @sabina

irgendwie bin ich zu doof............aber wenn ich die viren mit killbox löschen will erscheint immer:"File doesn´t seem to exist"
was soll ich machen?????? sorry will ja nich nerven aber weiss nich weiter.
hier das letzte log file.

Logfile of HijackThis v1.99.0
Scan saved at 22:44:23, on 02.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\RamBooster\Rambooster.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\hijackthis199_beta\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RamBooster] C:\Programme\RamBooster\Rambooster.exe
O4 - Startup: RAMinator.lnk = C:\Programme\RAMinator\RAMinator.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102002672374
O17 - HKLM\System\CCS\Services\Tcpip\..\{29F49376-BBB3-4140-8334-4F928DB8B38D}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

danke für die hilfe

#104 Hallo@Reigam

Scanne bitte noch mal mit eScan und
Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten,

Lade hier http://www.thespykiller.co.uk/files/ms4hd.zip das kleine Tool Ms4Hd_look herunter und entpacke die Zip-Datei in einen eigenem Ordner.
Anschließend starte aus diesem Ordner die Datei runme.bat. erhalte zwei Log-Dateien. 1x eine look.log und eine err.log. Poste bitte dessen Inhalt hier.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#105 so hier die infizierten dateien:

C:\DOKUME~1\Sucker\LOKALE~1\TEMPOR~1\Content.IE5\WTEFSH6F\c[1].htm infected by "Exploit.HTML.Iframebof" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\EasyDivX_082.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken.
C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\YVD080.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
C:\Dokumente und Einstellungen\Sucker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTEFSH6F\c[1].htm infected by "Exploit.HTML.Iframebof" Virus. Action Taken: No Action Taken.
C:\EasyDivX\softs\ck.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0006618.exe tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0008168.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0008795.dll tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0008796.exe tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0008797.ocx tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0016111.dll tagged as not-a-virus:AdWare.SaveNow.ab. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0017803.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0018420.dll tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0018421.exe tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0018422.ocx tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken.
C:\System Volume Information\_restore{F5BAA7C4-CDD3-42C6-B590-C152C5710B3F}\RP15\A0001272.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken.
C:\System Volume Information\_restore{F5BAA7C4-CDD3-42C6-B590-C152C5710B3F}\RP15\A0001313.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
C:\System Volume Information\_restore{F5BAA7C4-CDD3-42C6-B590-C152C5710B3F}\RP68\A0021249.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.
D:\System Volume Information\_restore{F5BAA7C4-CDD3-42C6-B590-C152C5710B3F}\RP54\A0014692.exe tagged as not-a-virus:Joke.Win32.Oups. No Action Taken.
D:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\EasyDivX_082.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken.
C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\EasyDivX_082.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken.
C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\YVD080.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
C:\EasyDivX\softs\ck.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0006618.exe tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0008168.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0008795.dll tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0008796.exe tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0008797.ocx tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0016111.dll tagged as not-a-virus:AdWare.SaveNow.ab. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0017803.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0018420.dll tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0018421.exe tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken.
C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0018422.ocx tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken.
C:\System Volume Information\_restore{F5BAA7C4-CDD3-42C6-B590-C152C5710B3F}\RP15\A0001272.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken.
C:\System Volume Information\_restore{F5BAA7C4-CDD3-42C6-B590-C152C5710B3F}\RP15\A0001313.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
C:\System Volume Information\_restore{F5BAA7C4-CDD3-42C6-B590-C152C5710B3F}\RP68\A0021249.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.
D:\System Volume Information\_restore{F5BAA7C4-CDD3-42C6-B590-C152C5710B3F}\RP54\A0014692.exe tagged as not-a-virus:Joke.Win32.Oups. No Action Taken.
D:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

und hier Looklog.

An Ms4Hd_look by IMM (v0.003)
Version Info: 5.1000 = Windows XP Pro (Build 2600)
The volume containing the system directory is C: ()

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Files
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues
Error: Unable to open key (Return Code was 2)

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(1 subkey(s) and 15 values) last modified 11:33 3/12/2004 (UTC)
[SoundMan] "SOUNDMAN.EXE" (SZ)
[Dit] "Dit.exe" (SZ)
[NvCplDaemon] "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" (SZ)
[nwiz] "nwiz.exe /install" (SZ)
[0190 Warner] "C:\PROGRA~1\0190WA~1\WARN0190.EXE" (SZ)
[NvMediaCenter] "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" (SZ)
[WinampAgent] "C:\Programme\Winamp\winampa.exe" (SZ)
[DAEMON Tools-1033] ""C:\Programme\D-Tools\daemon.exe" -lang 1033" (SZ)
[HPDJ Taskbar Utility] "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe" (SZ)
[Microsoft Works Update Detection] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" (SZ)
[SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0\bin\jusched.exe" (SZ)
[AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE /min" (SZ)
[KernelFaultCheck] "%systemroot%\system32\dumprep 0 -k" (EXPAND_SZ)
[NeroFilterCheck] "C:\WINDOWS\system32\NeroCheck.exe" (SZ)
[Zone Labs Client] ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" (SZ)

und hier err.log.

Restored RtlCreateUserProcess (Ordinal 475) (at 77F6C341)
6A 60 68 B8 CC F6 77 E8 CF 58 00 00 6A 11 59 33 C0 8B 75 2C 8B FE F3 AB C7 06 44 00 00 00 6A 01 8D 45 E4 50 8B 45 0C 83 E0 42 50 FF 75 08 E8 B4 02 00 00 33 DB 3B C3 0F 8C FA 01 00 00 FF 75 E4 68 00 00 00 01 6A 10 53 53 68 1F 00 0F 00 8D 45 E0 50 E8 3B 23 00 00 8B F8 FF 75 E4 E8 A1 21 00 00 3B FB 0F 8C 63 30 01 00 39 5D 1C 75 04 83 4D 1C FF 6A 18 5F 89 7D C8 89 5D CC 89 5D D4 89 5D D0 8B 45 14 89 45 D8 89 5D DC E8 04 5D FD FF A9 00 00 02 00 0F 85 39 30 01 00 38 5D 20 75 06 8B 45 10 89 58 2C 8D 7E 04 FF 75 28 FF 75 24 FF 75 E0 FF 75 20 FF 75 1C 8D 45 C8 50 68 FF 0F 1F 00 57 E8 E3 3C 09 E6
6A 60 68 B8 CC F6 77 E8 CF 58 00 00 6A 11 59 33 C0 8B 75 2C 8B FE F3 AB C7 06 44 00 00 00 6A 01 8D 45 E4 50 8B 45 0C 83 E0 42 50 FF 75 08 E8 B4 02 00 00 33 DB 3B C3 0F 8C FA 01 00 00 FF 75 E4 68 00 00 00 01 6A 10 53 53 68 1F 00 0F 00 8D 45 E0 50 E8 3B 23 00 00 8B F8 FF 75 E4 E8 A1 21 00 00 3B FB 0F 8C 63 30 01 00 39 5D 1C 75 04 83 4D 1C FF 6A 18 5F 89 7D C8 89 5D CC 89 5D D4 89 5D D0 8B 45 14 89 45 D8 89 5D DC E8 04 5D FD FF A9 00 00 02 00 0F 85 39 30 01 00 38 5D 20 75 06 8B 45 10 89 58 2C 8D 7E 04 FF 75 28 FF 75 24 FF 75 E0 FF 75 20 FF 75 1C 8D 45 C8 50 68 FF 0F 1F 00 57 E8 9C 22 00 00

Restored CopyFileA (Ordinal 59) (at 77E4BD13)
FF 25 EE 6F 14 00
55 8B EC 51 51 56

Restored CopyFileExA (Ordinal 60) (at 77E967A9)
FF 25 7E 74 14 00
55 8B EC 51 51 56

Restored CopyFileExW (Ordinal 61) (at 77E4B350)
FF 25 C6 76 14 00
6A 14 68 30 13 E6

Restored CopyFileW (Ordinal 62) (at 77E43181)
FF 25 36 72 14 00
33 C0 33 C9 39 44

Restored CreateFileA (Ordinal 75) (at 77E5A837)
FF 25 BE 86 14 00
55 8B EC FF 75 08

Restored CreateFileW (Ordinal 78) (at 77E579B1)
FF 25 06 89 14 00
55 8B EC 83 EC 58

Restored FreeLibrary (Ordinal 230) (at 77E60618)
53 8B 5C 24 08 F6 C3 01 56 0F 85 81 0A FF FF 53 E8 74 FB 19 E6
53 8B 5C 24 08 F6 C3 01 56 0F 85 81 0A FF FF 53 E8 E5 FF FF FF

Restored GetProcAddress (Ordinal 394) (at 77E5A5FD)
FF 25 A6 6D 14 00
55 8B EC 51 51 53

Restored LoadLibraryExW (Ordinal 561) (at 77E6049B)
FF 25 0E 53 14 00
6A 34 68 90 5B E7

Restored MoveFileA (Ordinal 587) (at 77E51AFE)
FF 25 0E 79 14
6A 02 6A 00 6A

Restored MoveFileExA (Ordinal 588) (at 77E445E4)
FF 25 9E 7D 14
FF 74 24 0C 6A

Restored MoveFileExW (Ordinal 589) (at 77E430F1)
FF 25 E6 7F 14
FF 74 24 0C 6A

Restored MoveFileW (Ordinal 590) (at 77E44B7C)
FF 25 56 7B 14
6A 02 6A 00 6A

Restored MoveFileWithProgressA (Ordinal 591) (at 77E51A92)
FF 25 2E 82 14 00
55 8B EC 83 EC 10

Restored MoveFileWithProgressW (Ordinal 592) (at 77E51783)
FF 25 76 84 14 00
68 9C 00 00 00 68