Extrem hartnäckiger Hijacker

#1 Hi,

habe mir einen Hijacker eingefangen.

Die Startseite meines Internet Explorers (Version 6.0, Betriebssystem Win XP) lässt sich nicht mehr ändern. Es hat sich
folgende Seite fest eingetragen:
res://<immer unterschiedliche dll Datei>/index.html#37794

Die dll. Datei finde ich entweder unter c:\windows oder unter c:\windows\system32
Lösche ich die dll wird wieder eine neue erzeugt und dann steht diese in der Startseite.

Ich habe schon mit folgenden Programmen versucht das Problem zu lösen:
Ad-Aware 6.0 (mit neuestem update)
SpyBot 1.3 (mit neuestem update)
McAfee (mit neuestem update)
HiJackThis 1.98.2

Das Programm Ad-Aware erkennt auch den Übeltäter in der Registry und enfternt diesen.
Leider wird die o.g Seite beim übernächsten Start des IE wieder angezeigt.

HiJackThis erkennt die Einträge auch, ich fixe sie, doch beim übernächsten Neustart des IE stehen sie wieder drin.

Die beiden anderen Programme fnden erst gar nichts.

Hab auch alle Schritte schon im abgesicherten Modus gemacht, natürlich ohne Erfolg. :-(

Kann mir jemand weiterhelfen, denn ich bin mit meinem Wissen jetzt am Ende.
Im voraus vielen Dank für eure Beiträge

Gruss
Stümper

In meinem Austostart steht auch nichts verdächtiges drin.

#2 Poste mal das Hijackthis Log hier im Forum.
MFG
DAFRA

#3 Logfile of HijackThis v1.98.2
Scan saved at 13:26:45, on 08.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINDOWS\system32\appjs.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\WINDOWS\system32\addkv32.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\winnw32.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\Gerd\Eigene Dateien\HiJacker\hijackthisneu\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ymgsz.dll/index.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ymgsz.dll/index.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ymgsz.dll/index.html#37794
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {F3AE5B8F-570D-9630-AF9D-BB9359426ED8} - C:\WINDOWS\mfcct.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [winnw32.exe] C:\WINDOWS\system32\winnw32.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29e0e4abe3441cca5319/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81D0343D-63A2-43E1-AD2C-8F837DA8A146}: NameServer = 205.188.146.146

#4 Hallo @Stümper

Fixe mit dem HijackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ymgsz.dll/index.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ymgsz.dll/index.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ymgsz.dll/index.html#37794
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {F3AE5B8F-570D-9630-AF9D-BB9359426ED8} - C:\WINDOWS\mfcct.dll
O4 - HKLM\..\Run: [winnw32.exe] C:\WINDOWS\system32\winnw32.exe

das kannst du auch <fixen< denn es hat nichts im Autostart zu suchentraegt sich bei Verwendung wieder ein)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot


neustarten


1) Deaktiviere kurz deinen Virenscanner
2) Lade Antivirus
http://www.free-av.de/
nach dem Instalationsscann stellst du ein:
<Alle Dateien <scannen
<Heuristic: hoch

3) #Lade dieses Tool
http://www.diamondcs.com.au/index.php?page=apm
<Klicke die Prozesse an, bis du C:\WINDOWS\mfcct.dll findsest.
<druecke auf <unload<

4) #loesche C:\WINDOWS\system32\winnw32.exe
..............................................................................
5) Gehe in den abgesicherten Modus:
http://www.bsi.de/av/texte/winsave.htm
und mache einen Komplettscann mit dem Antivirus
.................................................................................
6) #normal neustarten

7) #lade Sphjfix
http://www.rokop-security.de/main/article.php?sid=746

8)#scanne mit Adaware

9) #Lade ClearProg
loesche mit dem Tool die
-Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
http://www.clearprog.de/

10 ) <Stelle unter <Internetoptionen< eine neue Startseite ein und poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Juhu!!! :-)
vielen vielen Dank Sabina!
ich glaub das prob ist gelöst.
Startseite bleibt so wie sie sein soll :-)

Was mich aber echt schockiert ist, das Anti Vir die Trojaner gefunden hat (und zwar viele) und mcafee diese nicht ?! *shock

Es wurden auf jeden Fall ne Menge Trojaner gefunden, entfernt und den
Prozess habe ich auch gelöscht.

Jetzt habe ich aber noch 2 Frage:
1. Ist mein System jetzt noch sicher? d.h. kann ich weiterhin online banking etc. betreiben ohne Angst haben zu müssen, dass meine Passwörter um die Welt gehen?

2. Da ich McAfee eigentlich sehr gut finde, ist es möglich McAfee und Anti Vir auf meinem Rechner parallel laufen zu lassen? Bis jetzt hat er nämlich noch nicht gemeckert. Oder blockieren die sich irgendwie gegenseitig?

Unten ist aber trotzdem nochmal ein log von HiJackThis

Also vielen Dank nochmal!!!

Gruss Stümper

Logfile of HijackThis v1.98.2
Scan saved at 14:05:48, on 09.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Gerd\Eigene Dateien\HiJacker\hijackthisneu\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29e0e4abe3441cca5319/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81D0343D-63A2-43E1-AD2C-8F837DA8A146}: NameServer = 205.188.146.146

#6 @Stümper, Glueckwunsch !

#Deaktiviere die Wiederherstellung (kannst du nach dem Booten wieder aktivieren)
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Fixe noch (ist nicht <bad< sollte aber nicht im Autostart sein)...traegt sich bei Benutzung wieder ein
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

neustarten

Am Besten, du deaktivierst einen von den zwei Virenscannern (darf dann nicht unter 04 erscheinen), weil sonst vielleicht die Systemauslastung zu hoch wird.

Ich weiss nicht, welche Trojaner gefunden wurden.
Wenn es Keylogger waren...aendere alle Passworte oder setze den Computer neu auf.(was ich im HijackThis gesehen habe, waren nur Startseiten-trojaner)

Wenn du keinen Router hast, kannst du auch eine Firewall laden.
http://smb.sygate.com/products/spf_standard.htm
So kannst du ganz gut kontrollieren, was hinein-und hinaus will.

Surfe nur mit dem Firefox..ist viel sicherer, was die Startseiten-Trojaner betrifft und wechsele nur zum IE, wenn Seiten nicht erreichbar sind .
http://www.firebird-browser.de/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hmm... Rechner neu installieren will ich eigentlich nicht.

Und Passwörter habe ich keine mehr eingegeben, seit ich mir den HiJacker eingefangen hatte. Auf dem Rechner sind auch keine gespeichert.
Dann müsste es eigentlich ungefährlich sein, oder?

Was mich auch noch wundert ist, dass Anti Vir mir diverse Trojaner mit Namen TR/ Spy.Tofger.BI.5 oder .3 angezeigt und entfernt. Ich kann diesen Trojaner aber in keiner Virenbibliothek finden. ??!!

Gruss
Stümper

#8 ZITAT :Und Passwörter habe ich keine mehr eingegeben, seit ich mir den HiJacker eingefangen hatte. Auf dem Rechner sind auch keine gespeichert..................................................

Dann duerfte eigentlich kein Problem bestehen.....
mfg
Sabina

http://www.google.de/search?hl=de&ie=UTF-8&q=Tofger&btnG=Suche&meta=
Vielleicht verwendet Antivirus eine spezifische Bezeichnung fuer den SpyTrojaner.
Frag mal nach (Kontakt), welche Risiken bestehen.
http://www.free-av.de/
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo!!!
Bin ganz frisch und neu hier und habe ein verdächtig ähnliches Problem wie der Herr Stümper, der mit mir wohl recht gut mitfühlen könnte...

Ich habe nun dasselbe befolgt, das Sabina dem Herrn angeraten hat und POSTE hier mein Hijacker-Log mit der Bitte um Hilfe, was ich fixen möge (oder zusätzlich gegen mein Problem unternehmen könnte).

Besten Dank im Voraus, ich bin wissbegierig und lernbegierig und hoffe ehrlich gesagt, den IE irgendwann hinter mir zu lassen, wenn ich mal so weit bin, ein wenig Durchblick im Windows-Dschungel zu finden.

Dank! dank! dank!

Alvin


(Ich hoff das ist jetzt okay, wenn ich das jetzt hier schon poste, ohne dazu eingeladen zu werden...)

Logfile of HijackThis v1.99.1
Scan saved at 19:55:05, on 04.01.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\avast4home.antiviren\aswUpdSv.exe
C:\Programme\avast4home.antiviren\ashServ.exe
C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe
C:\WINNT\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Sony\MD Simple Burner\NetMDSB.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\system32\Promon.exe
C:\WINNT\system32\ltmsg.exe
C:\DOKUME~1\alvin1\LOKALE~1\Temp\5.tmp.exe
C:\DOKUME~1\alvin1\LOKALE~1\Temp\6.tmp.exe
C:\PROGRA~1\AVAST4~1.ANT\ashDisp.exe
C:\WINNT\system32\javauf.exe
C:\WINNT\system32\internat.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\iers32.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Compaq Wireless LAN\Client Manager\CMcom.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\alvin1\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\dxdyf.dll/sp.html#88449%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\dxdyf.dll/sp.html#88449%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\dxdyf.dll/sp.html#88449%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\dxdyf.dll/sp.html#88449%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\dxdyf.dll/sp.html#88449%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\dxdyf.dll/sp.html#88449%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {1461BFC9-B5C4-A979-FE21-A3CF29125657} - C:\WINNT\system32\addru32.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O2 - BHO: Class - {5DBEFECB-E898-49F0-7A1C-15DCA00B84B0} - C:\WINNT\crrx32.dll
O2 - BHO: Class - {72085DA9-16A5-2559-FF6E-7850AC2CD288} - C:\WINNT\system32\d3ni.dll
O2 - BHO: Class - {E4FE0785-A97A-C369-AC45-92873430A704} - C:\WINNT\system32\addwq.dll
O2 - BHO: Class - {E71F4823-7E71-FB9D-3523-E8D226497AF9} - C:\WINNT\system32\d3si.dll
O2 - BHO: Class - {F3C66961-EF25-2CFF-34F3-5BC3F7BC169C} - C:\WINNT\system32\atlvb32.dll
O2 - BHO: Class - {F4CD1DBE-653B-4C8C-F824-8394D4763F1A} - C:\WINNT\system32\netta.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [P2P Networking] C:\WINNT\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [5.tmp] C:\DOKUME~1\alvin1\LOKALE~1\Temp\5.tmp.exe
O4 - HKLM\..\Run: [6.tmp] C:\DOKUME~1\alvin1\LOKALE~1\Temp\6.tmp.exe
O4 - HKLM\..\Run: [5.tmp.exe] C:\DOKUME~1\alvin1\LOKALE~1\Temp\5.tmp.exe
O4 - HKLM\..\Run: [6.tmp.exe] C:\DOKUME~1\alvin1\LOKALE~1\Temp\6.tmp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\AVAST4~1.ANT\ashDisp.exe
O4 - HKLM\..\Run: [javauf.exe] C:\WINNT\system32\javauf.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [BullGuard] "C:\Programme\BullGuard Software\BullGuard\bullguard.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
O4 - Global Startup: Compaq Client Manager.lnk = C:\Programme\Compaq Wireless LAN\Client Manager\CMcom.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by24fd.bay24.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D351D130-77DD-4DA6-A6A0-F9B88FB8859D}: NameServer = 195.34.133.15,195.34.133.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB18F38A-9BF2-4EC3-B20D-1498E98A40AD}: NameServer = 195.34.133.10,195.34.133.11
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINNT\system32\btxppanel.dll
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\iers32.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\avast4home.antiviren\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\avast4home.antiviren\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\avast4home.antiviren\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\avast4home.antiviren\ashWebSv.exe" /service (file missing)
O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard, Ltd. - C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Programme\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
__________
Freundlicher Beginner aus Wien, Alvin

#10 HMifyoucan

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien (vom Datum her bitte bis Oktober)
http://virus-protect.org/datfindbat.html
-----------------------------------------------------------
Info:
http://virus-protect.org/artikel/spyware/trojanagent2.html
http://virus-protect.org/artikel/spyware/trojanagenteo.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hoffentlich habe ich das richtig verstanden mit den vier Textdateien, habe lange genug drüber nachgedacht, was da gemeint sein mag, bis ich langsam erkannte, daß da VIER Textdateien auftauchen...

Bitte sehr:

Verzeichnis von C:\WINNT\system32

04.01.2006 16:47 12.524 addal32.exe
04.01.2006 16:31 16.384 Perflib_Perfdata_25c.dat
04.01.2006 08:22 35.447 mfcpl.exe
04.01.2006 07:53 13.581 xsrzh.txt
04.01.2006 07:52 13.581 dfzhz.log
04.01.2006 00:05 16.384 Perflib_Perfdata_270.dat
03.01.2006 23:39 2.999 CONFIG.NT
03.01.2006 20:43 134.732 d3si.dll
01.01.2006 17:30 0 wnedv.dll
01.01.2006 16:30 35.447 sdktf.exe
01.01.2006 14:50 0 hyemh.dll
01.01.2006 14:50 0 dzwzx.dll
30.12.2005 18:21 0 logs2.ini
30.12.2005 12:46 35.447 ntnd.exe
30.12.2005 03:01 35.447 winzy32.exe
29.12.2005 10:31 35.447 sdkpm32.exe
29.12.2005 09:38 134.391 d3ni.dll
29.12.2005 05:43 35.447 ipie.exe
28.12.2005 12:47 0 knrsy.dll
28.12.2005 09:40 35.447 mfcqh32.exe
27.12.2005 10:49 35.447 winhw.exe
27.12.2005 04:55 35.447 netes32.exe
27.12.2005 03:43 35.447 ntrt.exe
26.12.2005 09:13 22.742 stub91.ini
26.12.2005 08:52 25.728 stub90.ini
26.12.2005 08:48 25.441 stub89.ini
26.12.2005 08:45 25.543 stub88.ini
26.12.2005 08:44 25.695 stub87.ini
26.12.2005 08:44 25.438 stub86.ini
26.12.2005 08:23 25.197 stub85.ini
26.12.2005 08:22 25.684 stub84.ini
26.12.2005 08:16 26.118 stub83.ini
26.12.2005 08:16 25.882 stub82.ini
26.12.2005 08:07 26.444 stub81.ini
26.12.2005 08:04 25.840 stub80.ini
26.12.2005 08:02 25.314 stub79.ini
26.12.2005 07:54 25.812 stub78.ini
26.12.2005 07:53 25.329 stub77.ini
26.12.2005 07:42 26.785 stub76.ini
26.12.2005 07:41 26.386 stub75.ini
26.12.2005 07:40 26.446 stub74.ini
26.12.2005 07:40 26.417 stub73.ini
26.12.2005 07:31 26.300 stub72.ini
26.12.2005 07:21 26.413 stub71.ini
26.12.2005 07:13 25.626 stub70.ini
26.12.2005 07:13 25.949 stub69.ini
26.12.2005 06:55 25.914 stub68.ini
26.12.2005 06:54 26.241 stub67.ini
26.12.2005 06:32 26.472 stub66.ini
26.12.2005 06:31 26.174 stub65.ini
26.12.2005 06:31 24.912 stub64.ini
26.12.2005 06:28 25.074 stub63.ini
26.12.2005 06:28 25.293 stub62.ini
26.12.2005 06:11 25.066 stub61.ini
26.12.2005 06:10 25.594 stub60.ini
26.12.2005 06:10 25.271 stub59.ini
26.12.2005 06:10 26.307 stub58.ini
26.12.2005 06:09 25.008 stub57.ini
26.12.2005 06:09 25.158 stub56.ini
26.12.2005 06:09 25.293 stub55.ini
26.12.2005 06:08 25.311 stub54.ini
26.12.2005 06:08 25.635 stub53.ini
26.12.2005 06:07 25.546 stub52.ini
25.12.2005 19:33 25.592 stub51.ini
25.12.2005 19:33 24.667 stub50.ini
25.12.2005 19:22 24.795 stub49.ini
25.12.2005 19:22 24.864 stub48.ini
25.12.2005 19:16 35.447 javauf.exe
25.12.2005 19:05 24.921 stub47.ini
25.12.2005 19:03 25.352 stub46.ini
25.12.2005 18:52 24.766 stub45.ini
25.12.2005 18:48 24.710 stub44.ini
25.12.2005 18:48 25.043 stub43.ini
25.12.2005 18:45 24.914 stub42.ini
25.12.2005 18:45 25.035 stub41.ini
25.12.2005 18:32 11.895 d3pp32.exe
25.12.2005 17:55 24.703 stub40.ini
25.12.2005 17:55 24.420 stub39.ini
25.12.2005 16:47 24.711 stub38.ini
25.12.2005 16:46 24.442 stub37.ini
25.12.2005 16:45 24.735 stub36.ini
25.12.2005 16:45 24.305 stub35.ini
25.12.2005 16:45 24.912 stub34.ini
25.12.2005 16:45 24.391 stub33.ini
25.12.2005 16:45 24.500 stub32.ini
25.12.2005 16:44 24.410 stub31.ini
25.12.2005 16:44 24.809 stub30.ini
25.12.2005 16:43 24.364 stub29.ini
25.12.2005 16:43 24.101 stub28.ini
25.12.2005 16:43 24.565 stub27.ini
25.12.2005 16:42 23.818 stub26.ini
25.12.2005 16:42 23.904 stub25.ini
25.12.2005 16:42 23.580 stub24.ini
25.12.2005 16:42 24.085 stub23.ini
25.12.2005 16:41 23.060 stub22.ini
25.12.2005 16:41 23.219 stub21.ini
25.12.2005 16:41 23.685 stub20.ini
25.12.2005 16:37 22.835 stub19.ini
25.12.2005 16:36 22.118 stub18.ini
25.12.2005 16:34 23.395 stub17.ini
25.12.2005 16:34 23.622 stub16.ini
25.12.2005 16:34 23.264 stub15.ini
25.12.2005 16:33 23.847 stub14.ini
25.12.2005 16:31 23.745 stub13.ini
25.12.2005 10:15 23.501 stub11.ini
25.12.2005 09:28 23.416 stub10.ini
25.12.2005 09:26 23.496 stub9.ini
25.12.2005 09:21 23.567 stub12.ini
25.12.2005 09:15 23.318 stub8.ini
25.12.2005 09:14 23.344 stub7.ini
25.12.2005 09:08 23.619 stub6.ini
25.12.2005 09:08 23.500 stub5.ini
25.12.2005 09:00 23.246 stub4.ini
25.12.2005 08:41 23.166 stub3.ini
25.12.2005 07:26 22.711 stub2.ini
25.12.2005 07:14 22.854 stub1.ini
25.12.2005 03:47 35.447 ntsp.exe
24.12.2005 06:29 35.447 mswj32.exe
24.12.2005 03:18 1.199 logs1.ini
23.12.2005 20:10 77.312 P2P Networking v126.cpl
22.12.2005 11:28 35.447 sysol32.exe
21.12.2005 01:37 134.391 addru32.dll
20.12.2005 20:19 134.391 atlvb32.dll
20.12.2005 13:21 481.280 aswBoot.exe
20.12.2005 13:15 90.112 AVASTSS.scr
19.12.2005 20:34 35.447 sdkpa32.exe
19.12.2005 10:43 35.447 ieag.exe
19.12.2005 03:32 35.447 syscd.exe
18.12.2005 02:14 35.447 javalm.exe
17.12.2005 10:03 197.761 jbnzp.txt
17.12.2005 09:12 35.447 apimg32.exe
17.12.2005 01:57 35.447 iedy32.exe
16.12.2005 15:23 35.447 crja32.exe
16.12.2005 13:59 68.608 doucq.dll
13.12.2005 06:51 35.447 crdw.exe
11.12.2005 00:15 35.447 atlsx.exe
10.12.2005 15:53 35.447 apilw32.exe
09.12.2005 07:25 35.447 mfcyh.exe
09.12.2005 00:51 35.447 msyl32.exe
08.12.2005 16:25 2.723.680 MRT.exe
08.12.2005 16:13 35.447 appaj.exe
08.12.2005 14:57 35.447 ieod32.exe
08.12.2005 10:05 35.447 d3md32.exe
08.12.2005 06:47 197.761 elafm.log
07.12.2005 17:34 35.447 iegv32.exe
07.12.2005 15:12 35.447 atlwn32.exe
07.12.2005 07:27 35.447 cryt.exe
04.12.2005 21:57 197.761 xlqkb.log
02.12.2005 11:40 134.391 addwq.dll
27.11.2005 14:40 133.791 netta.dll
11.11.2005 10:40 53.248 client_cc.dll
11.11.2005 10:35 53.248 lccl.dll


Verzeichnis von C:\DOKUME~1\alvin1\LOKALE~1\Temp

04.01.2006 16:50 49.152 ~DF7D16.tmp
04.01.2006 16:47 7.745 4.tmp
25.12.2005 16:10 11.895 6.tmp.exe
25.12.2005 16:10 20.087 5.tmp.exe


Verzeichnis von C:\WINNT

05.01.2006 04:22 35.447 apish.exe
04.01.2006 07:54 68.608 dxdyf.dll
04.01.2006 07:01 0 javakp32.exe
04.01.2006 00:07 8.496.225 setupapi.log
04.01.2006 00:05 1.128 ODBC.INI
03.01.2006 21:08 35.447 appuv32.exe
03.01.2006 15:18 35.447 addcj32.exe
03.01.2006 14:51 35.447 winjy32.exe
03.01.2006 14:08 22.742 stub91.ini
03.01.2006 14:05 25.728 stub90.ini
03.01.2006 12:51 25.441 stub89.ini
03.01.2006 12:42 25.543 stub88.ini
03.01.2006 12:36 25.695 stub87.ini
03.01.2006 12:27 25.438 stub86.ini
03.01.2006 12:02 25.197 stub85.ini
03.01.2006 11:57 25.684 stub84.ini
03.01.2006 11:52 26.118 stub83.ini
03.01.2006 11:47 25.882 stub82.ini
03.01.2006 11:31 26.444 stub81.ini
03.01.2006 05:25 25.840 stub80.ini
03.01.2006 05:16 25.314 stub79.ini
03.01.2006 04:57 25.812 stub78.ini
03.01.2006 04:10 25.329 stub77.ini
03.01.2006 04:08 26.785 stub76.ini
03.01.2006 04:08 26.386 stub75.ini
02.01.2006 19:50 26.446 stub74.ini
02.01.2006 19:49 26.417 stub73.ini
02.01.2006 19:21 26.300 stub72.ini
02.01.2006 19:12 26.413 stub71.ini
02.01.2006 19:12 25.626 stub70.ini
02.01.2006 19:12 25.949 stub69.ini
02.01.2006 18:58 25.914 stub68.ini
02.01.2006 18:53 26.241 stub67.ini
02.01.2006 18:52 26.472 stub66.ini
02.01.2006 18:45 35.447 ntrv.exe
02.01.2006 18:10 26.174 stub65.ini
02.01.2006 18:08 24.912 stub64.ini
02.01.2006 15:50 25.074 stub63.ini
02.01.2006 15:35 25.293 stub62.ini
02.01.2006 14:59 25.066 stub61.ini
02.01.2006 14:53 25.594 stub60.ini
02.01.2006 14:53 25.271 stub59.ini
02.01.2006 14:53 26.307 stub58.ini
02.01.2006 14:52 25.008 stub57.ini
02.01.2006 14:51 25.158 stub56.ini
02.01.2006 14:51 25.293 stub55.ini
02.01.2006 14:49 25.311 stub54.ini
02.01.2006 14:44 25.635 stub53.ini
02.01.2006 14:29 25.546 stub52.ini
02.01.2006 14:01 25.592 stub51.ini
02.01.2006 13:49 24.667 stub50.ini
02.01.2006 08:54 24.795 stub49.ini
02.01.2006 08:51 24.864 stub48.ini
02.01.2006 08:19 24.921 stub47.ini
02.01.2006 08:17 25.352 stub46.ini
02.01.2006 08:07 24.766 stub45.ini
02.01.2006 08:03 24.710 stub44.ini
02.01.2006 08:02 25.043 stub43.ini
02.01.2006 07:57 24.914 stub42.ini
02.01.2006 07:52 25.035 stub41.ini
02.01.2006 07:47 24.703 stub40.ini
02.01.2006 07:47 24.420 stub39.ini
02.01.2006 07:46 24.711 stub38.ini
02.01.2006 07:43 24.442 stub37.ini
02.01.2006 07:43 24.735 stub36.ini
02.01.2006 07:42 24.305 stub35.ini
02.01.2006 07:41 24.500 stub32.ini
02.01.2006 07:07 24.912 stub34.ini
02.01.2006 07:06 24.391 stub33.ini
02.01.2006 06:17 24.410 stub31.ini
01.01.2006 20:26 35.447 appma32.exe
01.01.2006 20:22 24.809 stub30.ini
01.01.2006 18:19 24.364 stub29.ini
01.01.2006 18:08 24.101 stub28.ini
01.01.2006 18:08 24.565 stub27.ini
01.01.2006 18:07 23.818 stub26.ini
01.01.2006 18:07 23.904 stub25.ini
01.01.2006 17:30 0 ogkxf.dll
01.01.2006 17:30 0 vcrbl.dll
01.01.2006 17:30 0 thbln.dll
01.01.2006 15:36 0 clhiq.dll
01.01.2006 15:05 10 smdat32m.sys
01.01.2006 14:50 0 gpvis.dll
01.01.2006 14:50 0 lsitw.dll
01.01.2006 11:53 24.085 stub23.ini
01.01.2006 11:47 23.060 stub22.ini
01.01.2006 11:47 23.219 stub21.ini
01.01.2006 11:21 22.854 stub1.ini
01.01.2006 11:03 23.685 stub20.ini
01.01.2006 10:50 22.835 stub19.ini
01.01.2006 10:34 22.118 stub18.ini
01.01.2006 08:47 23.395 stub17.ini
01.01.2006 07:26 23.622 stub16.ini
01.01.2006 07:26 23.264 stub15.ini
01.01.2006 07:25 23.847 stub14.ini
01.01.2006 06:54 23.745 stub13.ini
01.01.2006 06:49 23.567 stub12.ini
01.01.2006 06:49 23.501 stub11.ini
01.01.2006 06:49 23.416 stub10.ini
01.01.2006 06:44 23.496 stub9.ini
01.01.2006 06:37 23.619 stub6.ini
01.01.2006 06:36 23.500 stub5.ini
01.01.2006 06:33 23.246 stub4.ini
01.01.2006 05:53 22.711 stub2.ini
30.12.2005 19:42 23.318 stub8.ini
30.12.2005 18:21 0 logs2.ini
30.12.2005 03:49 23.344 stub7.ini
30.12.2005 03:01 1.199 logs1.ini
29.12.2005 15:29 35.447 appiz.exe
29.12.2005 06:26 35.447 apinw.exe
28.12.2005 12:54 35.447 crwu32.exe
28.12.2005 12:46 0 ecges.dll
27.12.2005 12:35 35.447 javaqn.exe
27.12.2005 09:17 35.447 sdkja.exe
26.12.2005 21:10 134.391 crrx32.dll
26.12.2005 13:08 985.577 WindowsUpdate.log
26.12.2005 13:08 2.087 vminst.log
25.12.2005 05:33 1.546 wldetect-1102112866.log
25.12.2005 05:33 6.429 KB889293-IE6SP1-20041111.235619.log
25.12.2005 04:32 0 ntfd32.dll
25.12.2005 00:56 197.761 amwwp.log
24.12.2005 12:57 37 vbaddin.ini
24.12.2005 12:57 109.542 UNNeroVision.cfg
24.12.2005 11:27 35.447 d3fu.exe
23.12.2005 20:20 73 WININIT.INI
23.12.2005 11:26 35.447 iemb.exe
23.12.2005 03:02 197.761 dxjnw.log
23.12.2005 02:36 260 system.ini
23.12.2005 02:36 1.285.000 ShellIconCache
23.12.2005 02:36 6.023 Q828026.log
22.12.2005 22:19 23.580 stub24.ini
22.12.2005 13:22 13.884 KB841872.log
22.12.2005 13:01 162 NeroDigital.ini
22.12.2005 13:01 1.405 msdfmap.ini
22.12.2005 07:13 35.447 apppw32.exe
21.12.2005 13:24 707 _default.pif
21.12.2005 13:24 106.860 setupact.log
21.12.2005 13:24 32.586 SchedLgU.Txt
21.12.2005 13:24 40.167 KB824105.log
21.12.2005 13:24 13.581 imflt.log
21.12.2005 13:24 17.062 Kaffeetasse.bmp
21.12.2005 13:24 169.563 DirectX.log
21.12.2005 13:24 32.501 wmsetup.log
21.12.2005 13:24 50.682 UNNMP.cfg
21.12.2005 13:24 63.238 Windows Update.log
21.12.2005 13:24 48.538 winnt256.bmp
21.12.2005 13:24 65.978 Seifenblase.bmp
21.12.2005 13:24 17.362 Rhododendron.bmp
21.12.2005 07:42 35.447 msxz32.exe
20.12.2005 22:48 35.447 atlaa.exe
20.12.2005 07:56 35.447 apiab32.exe
20.12.2005 05:27 35.447 iezj32.exe
20.12.2005 00:38 23.166 stub3.ini
19.12.2005 08:10 35.447 ipdf.exe
18.12.2005 22:17 35.447 d3dk32.exe
18.12.2005 17:24 35.447 netrf32.exe
18.12.2005 16:54 35.447 javasw.exe
18.12.2005 00:53 35.447 sdklp.exe
17.12.2005 18:50 68.608 mmrsh.dll
17.12.2005 08:09 3.567 xemhc.dat
17.12.2005 07:37 35.447 atlpu.exe
17.12.2005 07:08 3.567 oisds.dat
17.12.2005 06:22 197.761 qslkc.txt
16.12.2005 14:21 3.567 rsxqp.txt
16.12.2005 12:57 35.447 d3cq.exe
16.12.2005 08:48 35.447 mfcbd.exe
15.12.2005 13:21 35.447 appkw32.exe
13.12.2005 22:44 35.447 winmc32.exe
13.12.2005 19:15 35.447 d3ir32.exe
12.12.2005 16:04 35.447 appho.exe
12.12.2005 11:55 35.447 atlkf.exe
10.12.2005 18:15 35.447 netia.exe
09.12.2005 22:00 35.447 atlug.exe
09.12.2005 01:49 35.447 ntuw.exe
08.12.2005 21:10 35.447 sysej.exe
08.12.2005 20:13 35.447 mfcxb.exe
07.12.2005 18:55 35.447 sysgk.exe
07.12.2005 18:07 35.447 atlfg32.exe
07.12.2005 06:24 35.447 javasy.exe
07.12.2005 01:53 35.447 crgm.exe
02.12.2005 23:47 11.895 iers32.exe
01.10.2005 00:58 2.612.576 499SAVER.exe
01.10.2005 00:58 642.792 499SAVER.scr
01.10.2005 00:58 29.696 mickey32.dll


Verzeichnis von C:\

05.01.2006 19:04 0 sys.txt
05.01.2006 19:04 14.056 system.txt
05.01.2006 19:03 447 systemtemp.txt
05.01.2006 19:02 97.308 system32.txt
04.01.2006 16:46 805.306.368 pagefile.sys



Danke im Voraus noch Mal!



Jetzt hänge ich aber gleich noch ein paar Fragen an:

Soll ich Firefox installieren? Und IE - wie ich irgendwo als Tip schon gelesen habe - nur im Notfall verwenden?

Ich habe - vielleicht geht das ja aus meiner ersten Eintragung hervor - mittlerweile so einiges installiert an Virenprogrammen (Avast, Bullguard), wo ich nicht weiß ob das klug war bzw. wenn ich ich glaube Bullguard aktiviert hab, hab ich ?naturgemäß? Probleme mit Outlook...?

Kann ich vielleicht hier im SecurityForum - bereits dahingehende - Antworten nachlesen, ob es sinnvoll ist Outlook überhaupt zu verwenden, welche Vorteile es bringt zu meinem bisher ziemlich zufriedenstellenden yahoo-konto(wobei ich sagen muß, daß ich eben erst seit kurzem Zuhause im Netz bin und von daher vorher ja kein Outlook verwenden konnte, und soll ich jetzt komplett auf Outlook umsteigen, macht das Sinn?)...

Ich hoffe, meine Fragen sind noch nicht "peinlich", weil so "?banal?"...; (

Freundlicher Alvin
__________
Freundlicher Beginner aus Wien, Alvin

#12 HMifyoucan

es sind alles Viren....alles, bis zum 11.11.2005 10:35 53.248 lccl.dll und danch kommt bestimmt noch mehr.

C:\WINNT\system32\addal32.exe
C:\WINNT\system32\mfcpl.exe
C:\WINNT\system32\xsrzh.txt
C:\WINNT\system32\dfzhz.log
C:\WINNT\system32\d3si.dll
C:\WINNT\system32\wnedv.dll
C:\WINNT\system32\sdktf.exe
C:\WINNT\system32\hyemh.dll
C:\WINNT\system32\dzwzx.dll
C:\WINNT\system32\logs2.ini
C:\WINNT\system32\ntnd.exe
C:\WINNT\system32\winzy32.exe
C:\WINNT\system32\sdkpm32.exe
C:\WINNT\system32\d3ni.dll
C:\WINNT\system32\ipie.exe
C:\WINNT\system32\knrsy.dll
C:\WINNT\system32\mfcqh32.exe
C:\WINNT\system32\winhw.exe
C:\WINNT\system32\netes32.exe
C:\WINNT\system32\ntrt.exe

usw. usw...

Verzeichnis von C:\WINNT

05.01.2006 04:22 35.447 apish.exe
04.01.2006 07:54 68.608 dxdyf.dll
04.01.2006 07:01 0 javakp32.exe
04.01.2006 00:07 8.496.225 setupapi.log
03.01.2006 21:08 35.447 appuv32.exe
03.01.2006 15:18 35.447 addcj32.exe
03.01.2006 14:51 35.447 winjy32.exe
03.01.2006 14:08 22.742 stub91.ini
03.01.2006 14:05 25.728 stub90.ini

usw.....

das beste ist, du formatierst.
__________
MfG Sabina

rund um die PC-Sicherheit

#13

Zitat

Können Sie mir mit einem Satz versuchen zu erklären, wie alles weiter rückwirkend voller Viren sein kann, wenn ich erst seit 20.12.2005 im Netz bin, nachdem ein Freund auf dem Laptop vor einem Jahr alles neu installiert hat.

Hat ER wohl auch nicht formatiert vorm neu aufsetzen, was angesichts des Vorlebens des Laptops dringend notwendig gewesen wäre?

der PC besteht nur aus viren, einmal im Log vom HijackThis ersichtlich und zum anderen auch alle rot gekennzeichneten Dateien von der datfindbat. (siehe oben)

ein Grund:
O4 - HKLM\..\Run: [P2P Networking] C:\WINNT\system32\P2P Networking\P2P Networking.exe /AUTOSTART

der andere Grund: der IE...du warst auf einer Seite, wo du nicht haettest sein sollen...und das mit dem IE, anstatt vom Firefox oder Opera.
New WMF 0-day exploit
http://virus-protect.org/artikel/newsletter/wpfv.html
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo Zusammen,

ich habe auch ähnlich Problem. Ich bin hier neu regiestriert, weiß nicht , ob ich auch hier mein Problem einträgen darf.

Ich habe sogar Windows neu installiert, benutze nicht mehr mit Explorer, ist viel besser geworden. Aber nach Ad-Aware Scan zeigt es immer noch MRU. Ich weiß es nicht, ob es harmlos ist, oder was bedeutet es, wie kann ich es löschen?

ich habe keine Ahnung von PC, bin ich heir gelandet, nach Angabe von Sabina habe ich mit Hijackerthis und Cleanup den PC durchlaufen lassen, (ich bin aber nicht sicher, ob ich nach richtig Rheinfolge gemacht habe.), hier ist die Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:35:23, on 07.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Dokumente und Einstellungen\guiying\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Logfile von Ad-Aware

Ad-Aware SE Build 1.06r1
Logfile Created on:Samstag, 7. Januar 2006 16:03:34
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R85 04.01.2006
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):6 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Search for low-risk Thread
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


07.01.2006 16:03:34 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\guiying\recent
Description : list of recently opened documents


MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Object Recognized!
Location: : S-1-5-21-1844237615-1004336348-839522115-1003\software\microsoft\search assistant\acmru
Description : list of recent search terms used with the search assistant


MRU List Object Recognized!
Location: : S-1-5-21-1844237615-1004336348-839522115-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


MRU List Object Recognized!
Location: : S-1-5-21-1844237615-1004336348-839522115-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-1844237615-1004336348-839522115-1003\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 560
ThreadCreationTime : 07.01.2006 15:00:00
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 620
ThreadCreationTime : 07.01.2006 15:00:03
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 644
ThreadCreationTime : 07.01.2006 15:00:06
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 688
ThreadCreationTime : 07.01.2006 15:00:09
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 700
ThreadCreationTime : 07.01.2006 15:00:09
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 856
ThreadCreationTime : 07.01.2006 15:00:14
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 960
ThreadCreationTime : 07.01.2006 15:00:15
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1072
ThreadCreationTime : 07.01.2006 15:00:16
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1168
ThreadCreationTime : 07.01.2006 15:00:16
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1296
ThreadCreationTime : 07.01.2006 15:00:17
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:11 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1536
ThreadCreationTime : 07.01.2006 15:00:21
BasePriority : Normal
FileVersion : 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)
ProductVersion : 5.1.2600.2696
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:12 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1648
ThreadCreationTime : 07.01.2006 15:00:22
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:13 [zlclient.exe]
FilePath : C:\Programme\Zone Labs\ZoneAlarm\
ProcessID : 1816
ThreadCreationTime : 07.01.2006 15:00:28
BasePriority : Normal
FileVersion : 6.1.737.000
ProductVersion : 6.1.737.000
ProductName : Zone Labs Client
CompanyName : Zone Labs, LLC
FileDescription : Zone Labs Client
InternalName : zlclient
LegalCopyright : Copyright © 1998-2005, Zone Labs, LLC
OriginalFilename : zlclient.exe

#:14 [msnmsgr.exe]
FilePath : C:\Programme\MSN Messenger\
ProcessID : 1848
ThreadCreationTime : 07.01.2006 15:00:28
BasePriority : Normal
FileVersion : 7.0.0777
ProductVersion : 7.0.0777
ProductName : MSN Messenger
CompanyName : Microsoft Corporation
FileDescription : MSN Messenger
InternalName : msnmsgr
LegalCopyright : Copyright (c) Microsoft Corporation 1997-2004
LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
OriginalFilename : msnmsgr.exe

#:15 [msmsgs.exe]
FilePath : C:\Programme\Messenger\
ProcessID : 1892
ThreadCreationTime : 07.01.2006 15:00:30
BasePriority : Normal
FileVersion : 4.7.3001
ProductVersion : Version 4.7.3001
ProductName : Messenger
CompanyName : Microsoft Corporation
FileDescription : Windows Messenger
InternalName : msmsgs
LegalCopyright : Copyright (c) Microsoft Corporation 2004
LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
OriginalFilename : msmsgs.exe

Ist mein PC noch gesund? oder muß was gemacht werden?

Kann jemand mir helfen, ich bedanke mich im Voraus
Gui

#15

Zitat

Aber nach Ad-Aware Scan zeigt es immer noch MRU.

das ist harmlos..und normal
__________
MfG Sabina

rund um die PC-Sicherheit