HILFE!! Registry Scanner, Keylogger, Malware etc.

#0
30.10.2004, 13:10
...neu hier

Beiträge: 2
#1 Hallo,

wer kann helfen???
Versuche seit Tagen mit Spyware doctor, Ad-aware SE und XPclean Malware und sonstigen Befall wieder los zu werden. Es hilft nicht, ständig öffnen sich websites wie amazon.com, casino.??.com, 6forfree.com oder ähnliches. Ich füge ein Protokoll das ich über hijackthis erstellt hinzu.
Leider habe ich überhaupt keine Ahnung was ich dort wie ändern kann.

Ich wäre für eine "kleine" verständliche Anleitung sehr dankbar.
Willie
Logfile of HijackThis v1.98.2
Scan saved at 12:48:50, on 30.10.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\Programme\Kerio Firewall\persfw.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\ptssvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\ScsiAccess.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\services\msxmidi.exe
C:\WINNT\System32\atiptaxx.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\WINNT\loadqm.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\UMonit2K.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\System32\twink64.exe
C:\WINNT\System32\internat.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spyware Doctor\spydoctor.exe
C:\Programme\a2\a2guard.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\wincmd\WINCMD32.EXE
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
F3 - REG:win.ini: run=C:\WINNT\system32\services\msxmidi.exe
O2 - BHO: (no name) - {36E309BD-3A04-4824-B121-26AAE3C98513} - C:\WINNT\System32\edo.dll (file missing)
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WindowsMGM] C:\Downloads\Movie_0074[1].mpeg.pif
O4 - HKLM\..\Run: [SSK Service] C:\Download\details.pif
O4 - HKLM\..\Run: [UMonit2K.exe] "C:\WINNT\System32\UMonit2K.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [5-1-8-5] c:\winnt\5-1-8-5.exe -m
O4 - HKCU\..\Run: [5-2-100-149] c:\winnt\5-2-100-149.exe -m
O4 - HKCU\..\Run: [ArchiCrypt Shredder] C:\Programme\ArchiCrypt Shredder\ACShredder.exe -hide
O4 - HKCU\..\Run: [5-1-25-261] c:\winnt\5-1-25-261.exe -m
O4 - HKCU\..\Run: [5-2-100-190] c:\winnt\5-2-100-190.exe -m
O4 - HKCU\..\Run: [5-2-100-157] c:\winnt\5-2-100-157.exe -m
O4 - HKCU\..\Run: [5-1-25-467] c:\winnt\5-1-25-467.exe -m
O4 - HKCU\..\Run: [5-1-26-26] c:\winnt\5-1-26-26.exe -m
O4 - HKCU\..\Run: [5-2-170-29] c:\winnt\5-2-170-29.exe -m
O4 - HKCU\..\Run: [5-1-25-331] c:\winnt\5-1-25-331.exe -m
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WindowsMGM] C:\Downloads\Movie_0074[1].mpeg.pif
O4 - HKCU\..\Run: [SSK Service] C:\Download\details.pif
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {BE95EB50-BF4C-11D2-AD93-0060087E046C} (debitel KundenService) - https://kundenservice.debitel.com/sccicci172.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{955B2087-7C3A-4EEE-9313-A1535DEBF48C}: NameServer = 217.237.150.33 217.237.151.161
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\System32\vbsys2 (file missing)
Seitenanfang Seitenende
30.10.2004, 13:52
Moderator

Beiträge: 7805
#2 Ja, da ist einiges und die Dateien/Eintraege, die mit "-m" enden scheinen alles Dialer zu sein.

Fixe bitte folgendes(anhaken und fix checked druecken):

F3 - REG:win.ini: run=C:\WINNT\system32\services\msxmidi.exe
O2 - BHO: (no name) - {36E309BD-3A04-4824-B121-26AAE3C98513} - C:\WINNT\System32\edo.dll (file missing)
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O4 - HKLM\..\Run: [WindowsMGM] C:\Downloads\Movie_0074[1].mpeg.pif
O4 - HKLM\..\Run: [SSK Service] C:\Download\details.pif
O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
O4 - HKCU\..\Run: [5-1-8-5] c:\winnt\5-1-8-5.exe -m
O4 - HKCU\..\Run: [5-2-100-149] c:\winnt\5-2-100-149.exe -m
O4 - HKCU\..\Run: [5-1-25-261] c:\winnt\5-1-25-261.exe -m
O4 - HKCU\..\Run: [5-2-100-190] c:\winnt\5-2-100-190.exe -m
O4 - HKCU\..\Run: [5-2-100-157] c:\winnt\5-2-100-157.exe -m
O4 - HKCU\..\Run: [5-1-25-467] c:\winnt\5-1-25-467.exe -m
O4 - HKCU\..\Run: [5-1-26-26] c:\winnt\5-1-26-26.exe -m
O4 - HKCU\..\Run: [5-2-170-29] c:\winnt\5-2-170-29.exe -m
O4 - HKCU\..\Run: [5-1-25-331] c:\winnt\5-1-25-331.exe -m
O4 - HKCU\..\Run: [WindowsMGM] C:\Downloads\Movie_0074[1].mpeg.pif
O4 - HKCU\..\Run: [SSK Service] C:\Download\details.pif
O4 - HKCU\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\System32\vbsys2 (file missing)


Bitte folgende Dateien:
C:\WINNT\System32\twink64.exe
C:\WINNT\system32\services\msxmidi.exe
c:\winnt\5-1-25-261.exe oder eine andere Datei von den -m Eintraegen.

an virus@protecus.de heuristik@antivir.de schicken, oder zumindestens hier testen: http://virusscan.jotti.dhs.org/
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.10.2004, 13:55
Moderator

Beiträge: 7805
#3 Fast vergessen, dein Windows aktualisieren, genauso wie dein Antivir, im Antivir guard die Dateiheuristik auf mittel aktivieren und bitte mal Escan deinen Rechner pruefen lassen und die Dateien mit Killbox beseitigen: Infos dazu gibt es hier:
http://www.rokop-security.de/board/index.php?showtopic=3867
Danach bitte ein neues Log posten
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.10.2004, 20:16
...neu hier

Themenstarter

Beiträge: 2
#4 Hi Raman,

vielen Dank für die Hilfe!!!!
Sieht schon alles viel besser aus. Wie Du am highjackthis logfile sehen kannst lassen sich die 014 Werte nicht entfernen.
Aber auf jeden Fall sind die dämlichen Pop-ups verschwunden. e-scan läßt sich nicht installieren. Beim unzippen bekomme ich die meldung "Error 11 running command mwavscan.co" angezeigt.
Vielen Dank nochmals und ein schönes Wochenende wünscht
Wilfried


Logfile of HijackThis v1.98.2
Scan saved at 19:50:57, on 30.10.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\Programme\Kerio Firewall\persfw.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\ptssvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\ScsiAccess.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\atiptaxx.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\WINNT\loadqm.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\UMonit2K.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\System32\internat.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spyware Doctor\spydoctor.exe
C:\Programme\a2\a2guard.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programme\wincmd\WINCMD32.EXE
C:\Downloads\HijackThis.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://ie.search.msn.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.search.msn.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.search.msn.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [UMonit2K.exe] "C:\WINNT\System32\UMonit2K.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ArchiCrypt Shredder] C:\Programme\ArchiCrypt Shredder\ACShredder.exe -hide
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {BE95EB50-BF4C-11D2-AD93-0060087E046C} (debitel KundenService) - https://kundenservice.debitel.com/sccicci172.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{955B2087-7C3A-4EEE-9313-A1535DEBF48C}: NameServer = 217.237.150.33 217.237.151.161
Seitenanfang Seitenende
30.10.2004, 20:21
Moderator

Beiträge: 7805
#5 Sieht auch schon besser aus.FIx noch das:

O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\System32\twink64.exe internat.dll,LoadKeyboardProfile

Starte die MWAV.exe im abgesicherten Modus und lasse dann deinen Rechner pruefen. Vergesse bitte das Windowsupdate.nicht!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende