SB Soft, gelöscht aber immer wieder da

#31 Hallo@l4pp3n

Loesche
<C:\WINDOWS\Downloaded Program Files\rundlg32.dll

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUNDLG32.DLL <PC neustarten

#Java-Cache leeren.
<C:\WINDOWS\.jpi_cache\
<C:\WINDOWS\.jpi_cache\jar\1.0\classload.jar-1f5b6b54-71383c02.zip
<C:\WINDOWS\.jpi_cache\jar\1.0\count1.jar-3173f390-5164ca9f.zip
<..und alle anderen Java-Cache

(falls du es nicht findest:
Cache-Ordner ist ein rein temporärer Ordner , also folgendes ausfuehren:

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
je nachdem, wie das bei Win98 funktioniert.....

dann scanne noch mal mit eScan.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#32 Ich nochma, hab jetz nochma gescant und da sind immernoch infizierte Datein, obwohl ich die Anweisung befolgt hab.
Hier die Log

File C:\WINDOWS\SYSTEM\Tools\Restart.exe tagged as not-a-virus:RiskWare.Tool.Destart. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\rundlg32.dll infected by "not-a-virus:AdvWare.Toolbar.SBSoft.f" Virus. Action Taken: No Action Taken.
File C:\Eigene Dateien\temp\Sam260Load.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
File C:\backups\backup-20041015-104539-104.dll infected by "not-a-virus:AdvWare.Toolbar.SBSoft.f" Virus. Action Taken: No Action Taken.
File D:\temp\tools\Install ADaware.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Hilf mir bitte Sabina, ich verzweifle hier bald

#33 Hallo@l4pp3n

was zu loeschen ware ist:
C:\WINDOWS\Downloaded Program Files\rundlg32.dll

#HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\Downloaded Program Files\rundlg32.dll
< PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:rundlg32.dll <PC neustarten

#Ueberpreufen, ob die dll noch da ist und wenn ja, manuell loeschen:
<C:\WINDOWS\Downloaded Program Files\rundlg32.dll
<C:\backups\backup-20041015-104539-104.dll

#Start<Ausfuehren <%temp%
D:\temp\tools\Install ADaware.exe

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K
__________________________________________________________________
Dann noch mal mit eScan scannen , und ueberpruefen, ob die rundlg32.dll weg ist.


mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#34

Zitat

Sabina postete
...
Hallo@l4pp3n
#Start<Ausfuehren <%temp%
D:\temp\tools\Install ADaware.exe
...
mfg
Sabina

...das versteh ich nich...

#35 Wenn du Start<Ausfuehren<%temp% reinkopierst, oder schreibst, oeffnen sich die Temp-Dateien.
Dort kannst du tools\Install ADaware.exe suchen und loeschen.

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#Search&Destroy
http://www.safer-networking.org/de/download/index.html


mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#36 So ich hoffe das is erstma der letzte post. Ich bedanke mich erstma bei dir Sabina für deine tolle Hilfe.
Hab nur noch nen paar Kleinigkeiten:
Das ist meine Letztendliche Log:

File C:\WINDOWS\SYSTEM\Tools\Restart.exe tagged as not-a-virus:RiskWare.Tool.Destart. No Action Taken.
hier denke ich, brauch ich mir keine Sorgen machen
File C:\Eigene Dateien\temp\Sam260Load.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
dieses ding werde ich sowieso noch löschen also auch kein Prob
File D:\temp\tools\Install ADaware.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
doch bei dieser Datei bin ich mir unsicher, denn ich versteh nicht warum ich diese Datei löschen soll. Es ist doch nur eine Install-Datei oder??


So und dann wollte ich noch eine Anmerkung hier zu machen:

Zitat

gepostet von Sabina
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

^das stimmt so nicht, dass man die Datein bedenkenlos löschen kann, denn ich habe Adaware und ich muss eine Datei lassen (eine von EUdora[E-mailproggi]), weil es sonst nicht mehr geht. Also Vorsicht! was ihr löscht

#37 Hallo @l4pp3n

Das mit AdAware, das stimmt, ich werde es in Zukunft korrigieren....Danke fuer den Hinweis

D:\temp\tools\Install ADaware.exe solltest du loeschen, es ist der Installer der Malware.

<Extras -> Internetoptionen -> Erweitert -> Sicherheit -> Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern.

#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html
Opera
http://www.opera7.de/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#38 Hallo Sabina,

vielen, vielen Dank schon mal für Deine Hilfe (Mail vom 30.09.2004)!!

Hab ich alles so erledigt.

Hier nochmal die Mail und die neuen logs, die Du Dir noch mal anschauen wolltest:

Mail:

Hallo, Dietmar

Fixe mit dem HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.heretofind.com/show.php?id=18&q=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.heretofind.com/show.php?id=18&q=%s
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no
file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no
file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no
file) (HKCU)
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) -
http://install.stardialer.de/StarInstall.ocx (DIALER !!!!!)
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) -
http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316


PC neustarten


#Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) loeschen

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#Leere die Odner (nicht die Ordner selbst loeschen: )
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#Search&Destroy
http://www.safer-networking.org/de/download/index.html


# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus)

FindnFix:
http://www10.brinkster.com/expl0iter/freeatlast/FNF/
1. Entpacken
2. !LOG!.BAT anklicken
3. Log(log.txt) abkopieren und posten !!!!!!!!!!!!

falls:
C:\Documents and Settings\Bams\Application Data\SBSoft\uns.dl
noch auf dem PC ist, kann ich das erkennen. (im Log ist es nicht mehr da)

Zusammen mit dem neuen Log vom HijackThis: posten (!), damit ich sehen kann, dass der Dialer weg ist.....und poste alles zusammen, also immer dieses Mail , damit ich weiss, was ich gemacht habe (kein neues Mail erstellen), denn normalerweise mache ich keine Reinigung per Mail, weil mir dann oft die Daten fehlen...)
_________________________________________________________________________________________________

VORSORGE:

# IE Spyad
http://www.pctipp.ch/downloads/dl/27634.asp
IE Spyad legt x-verschiedene unseriöse Webseiten direkt in die Eingeschränkte Zone des Internet Explorers.
Immer mehr Webseiten wollen Ihnen teuren Software-Schrott unterjubeln. Ob Spyware, Adware, billige Porno-Seiten oder teure Dialer - es gibt nichts, was unseriöse Gestalten nicht zum Kauf anbieten. Und da sie genau wissen, dass Sie nicht auf ihre luschen Angebote reinfallen, versuchen sie es mit Tricks.

# #TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
Opera
http://www.opera7.de/

#Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
#Nachrichtendienst
Starttyp-Empfehlung: DEAKTIVIERT
"Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern.
(wird auch von Spyware-Software "gekapert"

mfg
Sabina


> ----- Mensagem de ---------
> Data: Wed, 29 Sep 2004 19:33:29 +0200 (CEST)
> De: dj2004
> Responder para: dj2004
> Assunto: Private Nachricht: Hilfe zu SBSoft
> Para: Sabine.Cruz@---------
>
> Hallo Sabina,
> dj2004 hat Dir über das Forum auf "Protecus Securityforum(
> http://board.protecus.de )" eine E-Mail zugeschickt.
>
> Hilfe zu SBSoft
> ---
> Hi Sabina,
>
> ich hab mir auch das blöde SBSoft eingefangen.
>
> Bei meiner Recherche zur Schadensbegrenzung bin ich hier im Forum gelandet
> und hab gesehen, das Du wohl auf diesem Gebiet die Fachfrau bist.
>
> Kannst Du auch mir bitte behilflich sein?
>
> Ich hab zwar schon über die Systemsteuerung die Software deinstalliert, aber
> ich befürchte, das reicht nicht.
>
> Scheint zwar auf den ersten Blick wieder alles ok, aber von Zeit zu Zeit
> kommen merkwürdige Popups hoch.
>
> Hier meine Daten:
> Logfile of HijackThis v1.98.2
> Scan saved at 19:17:24, on 28.09.2004
> Platform: Windows XP SP1 (WinNT 5.01.2600)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
>
> Running processes:
> C:\WINDOWS\System32\smss.exe
> C:\WINDOWS\system32\winlogon.exe
> C:\WINDOWS\system32\services.exe
> C:\WINDOWS\system32\lsass.exe
> C:\WINDOWS\system32\svchost.exe
> C:\WINDOWS\System32\svchost.exe
> C:\WINDOWS\system32\spoolsv.exe
> C:\Programme\AVPersonal\AVGUARD.EXE
> C:\Programme\AVPersonal\AVWUPSRV.EXE
> C:\WINDOWS\System32\ircomm2k.exe
> C:\WINDOWS\System32\svchost.exe
> C:\Programme\McAfee\McAfee Firewall\CPD.EXE
> C:\WINDOWS\Explorer.EXE
> C:\Programme\McAfee\McAfee Firewall\CPD.EXE
> C:\WINDOWS\SOUNDMAN.EXE
> C:\WINDOWS\AGRSMMSG.exe
> C:\Programme\Synaptics\SynTP\SynTPLpr.exe
> C:\Programme\Synaptics\SynTP\SynTPEnh.exe
> C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
> C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
> C:\Programme\ScanSoft\OmniPageSE\opware32.exe
> C:\Programme\AVPersonal\AVGNT.EXE
> C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
> C:\Programme\FRITZ!DSL\Awatch.exe
> C:\WINDOWS\System32\ctfmon.exe
> C:\Programme\Messenger\msmsgs.exe
> C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
> C:\Programme\Outlook Express\msimn.exe
> C:\DOKUME~1\Dietmar\LOKALE~1\Temp\ibed.dat
> C:\Dokumente und Einstellungen\Dietmar\Eigene
> Dateien\Software\Antiviren\hijackthis_198\HijackThis.exe
> C:\Programme\Internet Explorer\iexplore.exe
>
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
> http://www.heretofind.com/show.php?id=18&q=%s
> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
> http://www.1und1.de/Herzlich_Willkommen/b1/
> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
> http://www.heretofind.com/show.php?id=18&q=%s
> R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
> www.google.com
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft
> Internet Explorer bereitgestellt von 1 & 1 Internet AG
> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
> C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
> O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
> C:\WINDOWS\System32\msdxm.ocx
> O4 - HKLM\..\Run: [LaunchApp] Alaunch
> O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
> O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
> O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
> O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
> O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
> O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
> O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
> O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
> O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
> O4 - HKLM\..\Run: [SunJavaUpdateSched]
> C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
> O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
> O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
> O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
> O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee
> Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
> O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft
> Office\Office\OSA9.EXE
> O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame
> Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
> O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
> O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no
> file)
> O9 - Extra 'Tools' menuitem: Sun Java Konsole -
> {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
> O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no
> file)
> O9 - Extra button: Corel Network monitor worker -
> {95321809-E3C5-40DC-880C-B541278293C2} - (no file)
> O9 - Extra 'Tools' menuitem: Corel Network monitor worker -
> {95321809-E3C5-40DC-880C-B541278293C2} - (no file)
> O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
> C:\WINDOWS\web\related.htm
> O9 - Extra 'Tools' menuitem: Show &Related Links -
> {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
> O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no
> file) (HKCU)
> O9 - Extra button: Corel Network monitor worker -
> {95321809-E3C5-40DC-880C-B541278293C2} - (no file) (HKCU)
> O9 - Extra 'Tools' menuitem: Corel Network monitor worker -
> {95321809-E3C5-40DC-880C-B541278293C2} - (no file) (HKCU)
> O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
> O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) -
> http://install.stardialer.de/StarInstall.ocx
> O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) -
> https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab
> O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) -
> http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316
> O17 -
> HKLM\System\CCS\Services\Tcpip\..\{F3ED5A5E-CB83-42E2-B561-FC675736B7A3}:
> NameServer = 192.168.122.252,192.168.122.253

> Vielen Dank schon mal...Gruß Dietmar (dgoerner@onlinehome.de)
>
neue logs:

Mon 25 Oct 04 20:59:24

»»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»»

*System:
Microsoft Windows XP Home Edition 5.1 Service Pack 1 (Build 2600)
*IE version:
6.0.2800.1106 SP1-Q828750

MS-DOS Version 5.00.500

*command.com test passed!

__________________________________
!!*Creating backups...!!

The operation completed successfully
20:59:23,88 25.10.2004
__________________________________

*Local time:
Montag, 25. Oktober 2004 (25.10.2004)
20:59, Westeuropäische Sommerzeit
*Uptime:
20:59:25 up 0 days, 0:46:12

*Path:
C:\FINDnFIX
----------------------------------------------------
»»Member of...: ("ADMIN" logon + group match required!)

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


VORDEFINIERT\Administratoren
\Everyone

Running in WORKSTATION MODE.

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!

The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder

______________________________________________________________________________
***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***
______________________________________________________________________________

......Scanning for file(s)...
*Note! The list(s) may include legitimate files!
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»

»»»»» (*1*) »»»»» .........
»»Read access error(s)...


»»»»» (*2*) »»»»»........

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»»»(*5*)»»»»»

»»»»»(*6*)»»»»»

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...
*List of files and specs according to 'size' :
*Note: Not all files listed here are infected, but *may include* the
name and spces of the offending file...
___________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL


____________________________________________________________________________
*By size and date...


No matches found.

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»


BHO search and other files...



No matches found.

No matches found.

--*sp.html in temp folder was NOT FOUND!--

*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)

--(*text/html Subkey was NOT FOUND!)--

REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)

--(*text/plain Subkey was NOT FOUND!)--

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450

»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!

Value Matches
________________________________

»»Comparing *saved* key with *original*...

REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)

Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).

No differences found.

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs =
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710

»»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM



»»Performing string scan....
00001150: \ C vk f AppInit_DLLs G
00001190: h vk UDeviceNotSelectedTimeout 1 5
000011D0: m 9 0 V vk ' zGDIProcessHandle
00001210:Quota" vk 8 Spooler2 y e s w h
00001250: ` vk =pswapdisk vk
00001290: R TransmissionRetryTimeout h `
000012D0: vk ' USERProcessHandleQuota ck username;
00001310: prepending default domain. Successfully cracked username. DsCr
00001350:ackNames Username is already an NT4 account name. Non-loca
00001390:l users are not allowed -- rejecting. NT-SAM Names handler usi
000013D0:ng default user identity %S. NT-SAM Names handler received re
00001410:quest with user identity %S. /yg 1 ygX/yg
00001450: 1 yg(/yg 1 yg .yg 1 yg .yg
00001490:1 yg .yg 1 ygm s R A D I U S S e r v i c e T y p e
000014D0:m s R A D I U S F r a m e d R o u t e m s R A D I U S F r a m
00001510:e d I P A d d r e s s m s R A D I U S C a l l b a c k N u m b
00001550:e r m s N P C a l l i n g S t a t i o n I D m s N P A l
00001590:l o w D i a l i n ygSuccessfully retrieved per-user attribut
000015D0:es. Inserting attribute %S. IASGetUserParameters

---------- WIN.TXT
fùAppInit_DLLsÖ�æG
--------------
--------------
$00127: Authentication
$00163: authentication
$00184: GetTokenInformation
$001A2: MS-CHAP-CPW-1
$001BE: MS-CHAP-CPW-2
$01180: AppInit_DLLs
$011AF: UDeviceNotSelectedTimeout
$011FF: zGDIProcessHandleQuota
$01298: TransmissionRetryTimeout
$012E8: USERProcessHandleQuota
$0132C: Successfully
$0134C: DsCrackNames
$015A6: ygSuccessfully
$015EC: IASGetUserParameters
$01720: msRADIUSCallbackNumber
$0174C: msRADIUSServiceType
$01778: msNPAllowDialin
$017DC: Authorization
$01923: successfully
$0193C: initialization
$0194C: Initializing
$01988: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
$01BF8: notification
--------------
--------------
() tTpPwW,-@*#
vers Acces
msRADIUSServiceType
msRADIUSFramedRoute
msRADIUSFramedIPAddress
msRADIUSCallbackNumber
msNPCallingStationID
msNPAllowDialin
userParameters
SYSTEM\CurrentControlSet\Services\RasMan\ppp\ControlProtocols\BuiltIn
DefaultDomain
--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

.............
A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 2 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : ""
0000 00 00 | ..
-----------------------

»»»»»»Backups list...»»»»»»
21:03:30 up 0 days, 0:50:17
-----------------------
Mon 25 Oct 04 21:03:30


C:\FINDNFIX\
keyback.hiv Mon 25 Oct 2004 20:59:24 A.... 8.192 8,00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 8.192 bytes 8,00 K

C:\FINDNFIX\KEYS1\
winkey.reg Mon 25 Oct 2004 20:59:26 A.... 287 0,28 K

1 item found: 1 file, 0 directories.
Total of file sizes: 287 bytes 0,28 K

*Temp backups...

"C:\Dokumente und Einstellungen\Dietmar\Lokale Einstellungen\Temp\Backs2\"
keyback2.hi_ 25 Oct 2004 8192 "keyback2.hi_"
winkey2.re_ 25 Oct 2004 287 "winkey2.re_"

2 items found: 2 files, 0 directories.
Total of file sizes: 8.479 bytes 8,28 K
-D---- JUNKXXX 00000000 20:59.24 25/10/2004
A----- STARTIT .BAT 00000060 20:59.26 25/10/2004

________________________________________________________________________________
***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)'
AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS!
MINIMAL REQUIREMENTS INCLUDE:
_________XP HOME/PRO; SP1; IE6/SP1
_________2K/SP4; IE6/SP1
________________________________________________________________________________
»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»
-----END------
Mon 25 Oct 04 21:03:31





Logfile of HijackThis v1.98.2
Scan saved at 21:22:15, on 25.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\ircomm2k.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Dietmar\Eigene Dateien\Software\Antiviren\hijackthis_198\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Corel Network monitor worker - {95321809-E3C5-40DC-880C-B541278293C2} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {95321809-E3C5-40DC-880C-B541278293C2} - (no file)
O9 - Extra button: Corel Network monitor worker - {95321809-E3C5-40DC-880C-B541278293C2} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {95321809-E3C5-40DC-880C-B541278293C2} - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5443D25B-6DEC-45FF-8B47-23BFD47DE506}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3ED5A5E-CB83-42E2-B561-FC675736B7A3}: NameServer = 192.168.122.252,192.168.122.253




Na,was meinst Du? Wieder alles ok??

Besten Dank!!

Gruß ..Dietmar

#39 Hallo@dj2004\Dietmar

Es ist alles sauber

#Spywareblaster (ueberwachungstool..alles aktivieren)
http://www.javacoolsoftware.com/sbdownload.html

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
Opera
http://www.opera7.de/

MFG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#40 Hallo leute
mein feund hat ein großes problem mit seinem PC. Als Startseite kommt immer ein unbekannter Dialer einer 0190 nummer wenn er Den Pc startete. kann jamand uns da ein rat oder tipp geben wie wir das wieder hin bekommen.

vielen dank leute

Grus Edda