TR/Spy.Briss.G und TR/Dldr.PurityS.E.2 entfernen

#1 Moin moin...

ich habe mir auf einer Horoskopsite massivst viele Trojaner aufn PC gezogen...ganz toll!!!
Einige habe ich schon runter bekommen. Aber die beiden hier sind echt hartnäckig. Ich füge mnal eben meinen Scan von Hijack This an:

Logfile of HijackThis v1.98.1
Scan saved at 20:10:46, on 07.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\dokumente und einstellungen\alex\lokale einstellungen\temp\gain_trickler_3202.exe
C:\Treiber\Java\j2re1.4.2_04\bin\jusched.exe
E:\Programme\Deamontool\daemon.exe
C:\WINDOWS\system32\wintime.exe
C:\Programme\ACD Systems\ImageFox\ImageFox.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\Tiny Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Trillian\Trillian\trillian.exe
C:\WINDOWS\BDIBV4\run.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\HijackThis1981.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\programme\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\alex\lokale einstellungen\temp\gain_trickler_3202.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Treiber\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Deamontool\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
O4 - Global Startup: ImageFox.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab
O16 - DPF: {B94B4225-E02E-4D3F-BADB-026F1E2F3AD7} (HttpDownloader Control) - http://www.instantplugin.com/SexDownloader.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.service-url.de/StarInstall.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E686AC0D-74FD-479D-8989-16BBD864A18D}: NameServer = 217.237.151.225 194.25.2.129
O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - (no CLSID) - (no file)

... was soll ich davon fixen (löschen) damit ich diese Bastarde wieder runter bekomme. Es installiert sich auch ständig ne Software und danach geht der PC automatisch offline. Bitte helft mir...ich bin verzweifelt....und bitte kein PC-Latain, denn so bewandert bin ich auch nicht. Am Besten eine Schritt für Schritt - Anleitung für den dummen Alex.

Vielen Dank im voraus

#2 Hallo Alex78,
Mache alles, wie beschrieben und wenn du was nicht verstehst...frage !

#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924


#lade ClearProg und loesche
http://www.clearprog.de/
-Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)....wichtig !!!!

fixe mit dem HijackThis (anhaken, was ich poste und dann auf <fix< druecken)
und dann neustarten und in den abgesicherten Modus gehen

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\alex\lokale einstellungen\temp\gain_trickler_3202.exe"
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe

O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O16 - DPF: {B94B4225-E02E-4D3F-BADB-026F1E2F3AD7} (HttpDownloader Control) - http://www.instantplugin.com/SexDownloader.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.service-url.de/StarInstall.ocx
O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - (no CLSID) - (no file)

ist nicht <bad<, kannst du aber auch fixen:
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Treiber\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe


neustarten
#Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

#Loesche alle Dateien (fuer alle Benutzer)
c:\dokumente und einstellungen\alex\lokale einstellungen\temp\

#suche eine cdcover.zip und loesche (falls du sie findest)

#Konfiguriere den Antivirus: <alle Dateien scannen< und Heuristik:hoch
und mache einen Komplettscann.


normal neustarten


http://www.adwareaway.com/
(Remove about: blank-Hijacker -Tool laden)

#Lade AdAware free und scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#Lade TuneUp 2004 (30 Tage free) und saeubere den Computer
http://www.tuneup.de/download/
wichtig:Aufraeumen\Reparieren

#lade mwav.exe und scanne <alle Dateien< und <alle Folder<
http://www.mwti.net/antivirus/free_utilities.asp

#Lade Cwshredder
http://www.chip.de/downloads/c_downloads_11353799.html


poste das Log noch mal.

mfg
Sabina


Win32/Spy.Briss.G trojan

# download and install cdcovers.zip b4
"Briss is an spyware (intrusive advertising software) made by BlazeFind. It is usually installed to computers without any warning or notification to users. The main component is a BHO (Browser Helper Object) that creates a search toolbar in Internet Explorer's interface. The spyware is capable or auto-updating itself. It reports information about users' hard drives and operating system version to its maker."
__________
MfG Sabina

rund um die PC-Sicherheit

#3 ...So erstmal vielen vielen Dank....das war zwar ne stundenlange Aktion, aber sau gut erklärt und gründlich.
Hier ist nochmal die neue Log von Hijack This:

Logfile of HijackThis v1.98.1
Scan saved at 15:08:55, on 08.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
E:\Programme\Deamontool\daemon.exe
C:\WINDOWS\system32\wintime.exe
C:\Programme\ACD Systems\ImageFox\ImageFox.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\Tiny Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Trillian\Trillian\trillian.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
E:\HijackThis1981.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\programme\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDB57890086B} - C:\WINDOWS\syskey.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Deamontool\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\win.exe
O4 - Global Startup: ImageFox.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E686AC0D-74FD-479D-8989-16BBD864A18D}: NameServer = 217.237.151.225 194.25.2.129

schau mal bitte nach ob nun noch irgendwas im Eimer ist. Ich habe auch ein WINDOWSUpdate durchgeführt. Gibts sonst irgenwelche Sharewaretools die ich mir drauf machen um solche Schei... zu verhindern?
Ist die Firewall die ich habe zu schlecht (Tiny Personal Firewall)? Ich hätte sonst noch Zone Alarm!

Vielen lieben Dank....Alex

#4 @Alex78

Es ist leider noch nicht alles in Ordnung

Fixe
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDB57890086B} - C:\WINDOWS\syskey.dll
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\win.exe

neustarten

#Lade dieses Tool
http://www.diamondcs.com.au/index.php?page=apm
Klicke alle Prozesse an und such die C:\WINDOWS\syskey.dll
dann<unload<
Dann scanne mit AdAware oder loesche die dll manuell.

#loesche
<C:\dl.html
<C:\WINDOWS\win.exe
<C:\system32\wintime.exe
<C:\WINDOWS\syskey.dll

(sieh auch, ob du noch einen Eintrag in der Registry dazu findest)
Start<Ausfuehren<regedit
oben links ist die Suchfunktion der Registry
Gib ein :wintime.exe und auch win.exe

normal neustarten

#Mache noch einen Onlinescann
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

<<<<ich verwende Sygate als Firewall
http://smb.sygate.com/products/spf_standard.htm
http://scan.sygatetech.com/
Scanns durchfuehren:

Sicherheitstipps:
http://www.chip.de/forum/thread.html?bwthreadid=561773


#Dann poste das Log noch mal.
mfg
Sabina
..........................................................................................................
http://vil.nai.com/vil/content/v_126205.htm
Tip: Aendere alle Passwoerter...oder setze den Comp. neu auf, denn WinTime] C:\WINDOWS\system32\wintime.exe ist ein Keylogger.
__________
MfG Sabina

rund um die PC-Sicherheit

#5 @Sabina

also ich habe die Datei syskey.dll nicht gefunden und die wintime.exe und win.exe in der regedit auch nicht gefunden...bei Hijack This habe ich aber die besagten Sachen gefixt.

Hier nochmal die neue Log:

Logfile of HijackThis v1.98.1
Scan saved at 16:50:28, on 08.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
E:\Programme\Deamontool\daemon.exe
C:\Programme\ACD Systems\ImageFox\ImageFox.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\Tiny Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Trillian\Trillian\trillian.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
E:\Virentools\HijackThis1981.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\programme\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Deamontool\daemon.exe" -lang 1033
O4 - Global Startup: ImageFox.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E686AC0D-74FD-479D-8989-16BBD864A18D}: NameServer = 217.237.151.225 194.25.2.129



ich bin ab gleich für 3 Wochen in Spanien und dann mich erst danach wieder drum kümmern....also net böse sein wenn ich auf weitere Anweisungen erstmal nicht antworten kann.
Guck mal trotzdem bitte ob das jetzt alles ok ist.

Vielen Dank

Alex

#6 Hallo Alex
Nun ist das Log sauber.

#Du musst den Antivirus unter <Optionen< so einstellen, dass der Guard aktiviert wird.
Da erscheint dann ein "aufgespannter Regenschirm" auf der Taskleiste.

Gruss vom Nachbar...aus Lissabon (hier regnet es ...nicht zu fassen....)
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo!

Ich habe ein ähnliches Problem. Nämlich "nur" den Spy.Briss.G.

Das HijackThis Logfile sagt:

Zitat

Logfile of HijackThis v1.98.2
Scan saved at 11:27:13, on 14.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Wintab32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\WINDOWS\System32\ZPOINT32.exe
C:\Programme\WinExposé\wex.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Babylon\Babylon.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\Programme\EzButton System V2.1\EzButton.exe
C:\Programme\GPGshell\GPGtray.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
E:\Installationsprogramme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.tu-harburg.de/cgi-bin/proxy-conf
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 134.28.41.1:3128
O2 - BHO: biObj Class - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - (no file)
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll (file missing)
O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Acecad.Wtxpload] C:\WINDOWS\Acecad\Wtxpload.exe Acecad
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [ZPOINT32] C:\WINDOWS\System32\ZPOINT32.exe
O4 - HKLM\..\Run: [WinExpose] "C:\Programme\WinExposé\wex.exe"
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DesktopX] "C:\Programme\Stardock\Object Desktop\DesktopX\DesktopX.exe"
O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon\Babylon.exe
O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe
O4 - Startup: GPGtray.lnk = C:\Programme\GPGshell\GPGtray.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/CDTInc/bridge-c1.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll

Ich hab schon mal auf der Webseite von HijackThis das Log File Auswerten lassen. Einige Prozesse, die Unbekannt sind, sind mir bekannte Programme.

Der Eintrag

Zitat

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.tu-harburg.de/cgi-bin/proxy-conf

ist mir bekannt (Proxy Config an meiner Uni)

Gleiches gilt für

Zitat

O4 - HKLM\..\Run: [WinExpose] "C:\Programme\WinExposé\wex.exe"

Zitat

O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe

und

Zitat

O4 - Startup: GPGtray.lnk = C:\Programme\GPGshell\GPGtray.exe

auch wenn die EzButton.exe "böse" zu sein scheint (die kann aber ruhig weg!)

Frage: Kann ich mich jetzt blind auf das verlassen, was mir die Auswertung sagt, oder frage ich hier lieber noch mal nach?

@Sabrina: Deine Anleitung scheint ja ziemlich detailiert, aber ich glaube, wenn ich die o.g. Anleitung Step by Step durchlaufe mache ich mehr kaputt als heile, oder?

Also, was mache ich jetzt?

Gruß,
Maltok

#8 Hallo @Maltok

Fixe:
O2 - BHO: biObj Class - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll (file missing)
O2 - BHO: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - (no file)
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll (file missing)
O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/CDTInc/bridge-c1.cab

neustarten

Lade :
FindnFix:
http://www10.brinkster.com/expl0iter/freeatlast/FNF/
1. Entpacken
2. !LOG!.BAT anklicken
3. Log(log.txt) abkopieren und posten

(poste aber nichts ueber Domain-Name und aehnliches, loesche es aus dem Post.
.........................................................................................................
#Leere folgende Ordner:
C:\Dokumente und Einstellungen\Default User\Cookies\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\History.IE5\*.*

#Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)

#Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm
#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

#Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#9

Zitat

Sabina postete(poste aber nichts ueber Domain-Name und aehnliches, loesche es aus dem Post.

Was meinst du denn damit? Ich hab jetzt mal den Link weggenommen. Hast du das gemeint?

Den Rest bearbeite ich jetzt gerade!

Danke schon mal.... Ergebnisse folgen...

Gruß,
Maltok

#10 Nein , ich meinte die persoenlichen PC-Daten, die<FindnFix:< angeben wird./

Mich interessiert nur, ob du einen Trojaner drauf hast.
ausser <bridge< ...das weiss ich schon....

Lade :
FindnFix:
http://www10.brinkster.com/expl0iter/freeatlast/FNF/
1. Entpacken
2. !LOG!.BAT anklicken
3. Log(log.txt) abkopieren und posten

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Alles in Häppchen. Hier schon mal FINDnFIX

Zitat

FINDnFIX
Tue 14 Sep 04 13:23:01

»»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»»

*System:
Microsoft Windows XP Professional 5.1 Service Pack 2 (Build 2600)
*IE version:
6.0.2900.2180 SP2



MS-DOS Version 5.00.500

*command.com test passed!

__________________________________
!!*Creating backups...!!
(*Backup already exist!)
13:23:01,30 14.09.2004
__________________________________

*Local time:
Dienstag, 14. September 2004 (14.09.2004)
13:23, Westeuropäische Sommerzeit
*Uptime:
13:23:02 up 0 days, 0:05:04

*Path:
C:\FINDnFIX
----------------------------------------------------
»»Member of...: ("ADMIN" logon + group match required!)

[...]
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

User: [...], is a member of:

[...]

Running in WORKSTATION MODE.

[...]

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!

The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder

______________________________________________________________________________
***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***
______________________________________________________________________________

......Scanning for file(s)...
*Note! The list(s) may include legitimate files!
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»

»»»»» (*1*) »»»»» .........
»»Read access error(s)...


»»»»» (*2*) »»»»»........

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»»»(*5*)»»»»»

»»»»»(*6*)»»»»»

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...
*List of files and specs according to 'size' :
*Note: Not all files listed here are infected, but *may include* the
name and spces of the offending file...
___________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL

713. Msasn1 Dll 57,344 . . . . A 8-04-04 12:57 am
750. Mshtmler Dll 57,344 . . . . A 8-04-04 12:55 am
238. Dmloader Dll 35,840 . . . . A 8-04-04 12:57 am
421. Imgutil Dll 35,840 . . . . A 8-04-04 12:57 am
271. Dpvacm Dll 21,504 . . . . A 8-04-04 12:57 am
329. Feclient Dll 21,504 . . . . A 8-04-04 12:57 am
362. Hidserv Dll 21,504 . . . . A 8-04-04 12:57 am

____________________________________________________________________________
*By size and date...


C:\WINDOWS\SYSTEM32\
msasn1.dll Wed 4 Aug 2004 0:57:26 A.... 57.344 56,00 K
mshtmler.dll Wed 4 Aug 2004 0:55:32 A.... 57.344 56,00 K

2 items found: 2 files, 0 directories.
Total of file sizes: 114.688 bytes 112,00 K

C:\WINDOWS\SYSTEM32\
dmloader.dll Wed 4 Aug 2004 0:57:18 A.... 35.840 35,00 K
imgutil.dll Wed 4 Aug 2004 0:57:22 A.... 35.840 35,00 K

2 items found: 2 files, 0 directories.
Total of file sizes: 71.680 bytes 70,00 K

C:\WINDOWS\SYSTEM32\
dpvacm.dll Wed 4 Aug 2004 0:57:18 A.... 21.504 21,00 K
feclient.dll Wed 4 Aug 2004 0:57:20 A.... 21.504 21,00 K
hidserv.dll Wed 4 Aug 2004 0:57:22 A.... 21.504 21,00 K

3 items found: 3 files, 0 directories.
Total of file sizes: 64.512 bytes 63,00 K

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\MSASN1.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\MSHTMLER.DLL
SNiF 1.34 statistics

Matching files : 2 Amount in bytes : 114688
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\DMLOADER.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\IMGUTIL.DLL
SNiF 1.34 statistics

Matching files : 2 Amount in bytes : 71680
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\DPVACM.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\FECLIENT.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\HIDSERV.DLL
SNiF 1.34 statistics

Matching files : 3 Amount in bytes : 64512
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»


BHO search and other files...



No matches found.

"C:\WINDOWS\system32\"
rtipxmib.dll 4 Aug 2004 31744 "rtipxmib.dll"

1 item found: 1 file, 0 directories.
Total of file sizes: 31.744 bytes 31,00 K

--*sp.html in temp folder was NOT FOUND!--

*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)

--(*text/html Subkey was NOT FOUND!)--

REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)

--(*text/plain Subkey was NOT FOUND!)--

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450

»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!

Value Matches
________________________________

»»Comparing *saved* key with *original*...

REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)

Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).

No differences found.

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs =
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710

»»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read VORDEFINIERT\Benutzer
(IO) ALLOW Read VORDEFINIERT\Benutzer
(NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access VORDEFINIERT\Administratoren
(NI) ALLOW Full access NT-AUTORIT´T\SYSTEM
(IO) ALLOW Full access NT-AUTORIT´T\SYSTEM
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Read VORDEFINIERT\Hauptbenutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORIT´T\SYSTEM



»»Performing string scan....
00001150: ?
00001190: vk f AppInit_
000011D0LLs G vk UDeviceNotSelectedTimeout
00001210: 1 5 _ 9 0 x, vk ' zGDIProce
00001250:ssHandleQuota" vk Spooler2 y e s h
00001290: 0 ` vk =pswapdisk vk
000012D0: R TransmissionRetryTimeout 0 `
00001310: vk ' D USERProcessHandleQuotas
00001350:
00001390:
000013D0:
00001410:
00001450:
00001490:
000014D0:
00001510:
00001550:
00001590:
000015D0:

---------- WIN.TXT
fùAppInit_DLLs֍æG
--------------
--------------
$011C8: AppInit_DLLs
$011F7: UDeviceNotSelectedTimeout
$01247: zGDIProcessHandleQuota
$012E0: TransmissionRetryTimeout
$01330: USERProcessHandleQuotas
--------------
--------------
No strings found.

--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

.............
.............
A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 2 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : ""
0000 00 00 | ..
-----------------------

»»»»»»Backups list...»»»»»»
13:29:21 up 0 days, 0:11:23
-----------------------
Tue 14 Sep 04 13:29:21


C:\FINDNFIX\
keyback.hiv Tue 14 Sep 2004 13:12:02 A.... 8.192 8,00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 8.192 bytes 8,00 K

C:\FINDNFIX\KEYS1\
winkey.reg Tue 14 Sep 2004 13:12:04 A.... 287 0,28 K

1 item found: 1 file, 0 directories.
Total of file sizes: 287 bytes 0,28 K

*Temp backups...

"C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Backs2\"
keyback2.hi_ 14 Sep 2004 8192 "keyback2.hi_"
winkey2.re_ 14 Sep 2004 287 "winkey2.re_"

2 items found: 2 files, 0 directories.
Total of file sizes: 8.479 bytes 8,28 K
-D---- JUNKXXX 00000000 13:12.02 14/09/2004
A----- STARTIT .BAT 00000060 13:23.02 14/09/2004

________________________________________________________________________________
***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)'
AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS!
MINIMAL REQUIREMENTS INCLUDE:
_________XP HOME/PRO; SP1; IE6/SP1
_________2K/SP4; IE6/SP1
________________________________________________________________________________
»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»
-----END------
Tue 14 Sep 04 13:29:23

... und weiter gehts ...

Gruß,
Maltok

#12 1.Fixe, was ich gepostet habe, dann booten und dann:

2.LEERE folgende Ordnerbevor du den "eScan" laedst)

C:\Dokumente und Einstellungen\Default User\Cookies\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\History.IE5\*.*


3.Lade den "eScan" erstelle vorher eine C:\base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp% oder in der C:\base
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)

#Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm
#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

#Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 ähmmm... also ich scanne bereits seit 1h 47min (193.000 Files bis jetzt) und bin mitten auf der 2. von 3 Partitionen. Das wird wohl noch ne gute Stunde dauern, bis das Scannen im Abgesicherten Modus abgeschlossen ist.

Erklär mir doch noch mal ganz kurz, warum ich dem Scan im Abgesicherten Modus nicht trauen kann und noch mal voraussichtlich 4 Stunden in einen Scan investieren soll, der im Normalmodus stattfindet. Irgendwann muss ich an dem Rechner auch noch mal weiter arbeiten...

Also: Wo liegt der Unterschied zwischen scannen im Abgesicherten und scannen im Normalen Modus?

Gruß,
Maltok

#14 Der Scan ist im normalen Modus wahrscheinlich schneller fertig, meines Erachtens aber eigentlich unnötig, weil E-Scan da eigentlich nichts finden kann, was es vorher nicht auch schon gefunden haben müsste, es sind ja keine neuen Dateien dazugekommen?

#15 @Maltok

Da hast du und der Scanner A) <Administratorenrechte<,und B) kann Dateien\Viren\Malware\Trojaner\Backdoors loeschen, die im abgesicherten Modus nicht verwendet werden .
Im Normalmodus waere das nicht moeglich, da der z.B Trojaner aktiv ist.

Natuerlich wuerde ein Scann reichen.....aber:
Eigenartigerweise habe ich festgestellt, dass beim nochmaligen Scannen, vormals umbenannte Dateien geloescht wurden.
Doppelt haelt besser.

Aber wenn du keine Zeit hast, dann mach es nachts und poste morgen das Ergebnis.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit