Internet Explorer öffnet *http://69.20.56.3/yyy6.htm* h

#1 Guten Tag euch allen!!

Bei mir öffnet sich immer alle 5-10 Minuten ein Fenster des Internet-Explorers,ohne dass ich ihn benutze, z.b. wenn ich Half Life 2 spiele oder so. Diese haben meisten eine der folgenden Adressen: http://69.20.56.3/yyy6.html. Ich hab alles versucht um was immer es ist loszuwerden. (Norton 2004 ; Spybot; AdAware)
Und da woll ich fragen ob einer der mehr Peilung hat als ich mal den Hijackthis Log durchforsten kann.




Logfile of HijackThis v1.98.2
Scan saved at 13:57:43, on 23.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\EA GAMES\AceGain LiveUpdate\LiveUpdate.exe
C:\Programme\LIUtilities\WinTasks\wintasks.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\TerraTec\Mystify Ware 1.0\MOUSE32A.EXE
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\DitExp.exe
C:\Programme\EA GAMES\AceGain LiveUpdate\aceagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Profiler\lwemon.exe
C:\programme\valve\steam\steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\finalralph\Eigene Dateien\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\EA GAMES\AceGain LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [WinTasks Traybar] C:\Programme\LIUtilities\WinTasks\wintasks.exe traybar
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1031
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\TerraTec\Mystify Ware 1.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SrchfstUpdate] C:\WINDOWS\srchupdt.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.addictivetechnologies.net/DM0/cab/d4n34.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1026_EN_XP.cab
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_5_EN_XP.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {87067F04-DE4C-4688-BC3C-4FCF39D609E7} - http://download.websearch.com/Dnl/T_50183/QDow_AS2.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {91BE8DAC-957E-416C-B735-E2B63CDB915B} (MyEMessengerSetup Control) - http://www.myemessenger.com/activex/MyEMessengerSetupProject.cab
O16 - DPF: {B3A5878E-5B4C-4D12-9156-4D7FD8D0AF6C} (Cltbuilder Class) - http://akamai.downloadv3.com/binaries/one2one/one2oneSvcEN.cab
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin/exe/access_special.ocx
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {E302F157-A890-4B6F-A421-839D25055D6D} (NLSysInfo Control) - https://www.novaworld.com/NWCommunities/Beta/NLSysInfo.ocx
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_EN_XP.cab
O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_EN_XP.cab



Vielen Dank schon mal!!!

Ralph

#2 Hallo@FinalR_DX

öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [SrchfstUpdate] C:\WINDOWS\srchupdt.exe
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.addictivetechnologies.net/DM0/cab/d4n34.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1026_EN_XP.cab
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab
O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_5_EN_XP.ca
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {87067F04-DE4C-4688-BC3C-4FCF39D609E7} - http://download.websearch.com/Dnl/T_50183/QDow_AS2.cab
O16 - DPF: {B3A5878E-5B4C-4D12-9156-4D7FD8D0AF6C} (Cltbuilder Class) - http://akamai.downloadv3.com/binaries/one2one/one2oneSvcEN.cab
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin/exe/access_special.ocx
O16 - DPF: {E302F157-A890-4B6F-A421-839D25055D6D} (NLSysInfo Control) - https://www.novaworld.com/NWCommunities/Beta/NLSysInfo.ocx
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_EN_XP.cab
O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_EN_XP.cab

PC neustarten

Lade:
#LSPfix.exe
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
<"I know what I'm doing"
bringe die "lspak.dll"
von der linken auf die rechte Seite und loesche sie.

1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\Program Files\WindowsSA\omniscient.exe

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.

<C:\WINDOWS\srchupdt.exe
<C:\WINDOWS\system32\srchfst.dll
<C:\Program Files\WindowsSA\omniscienthook.dll
<C:\Program Files\WindowsSA\libcurl.dll
<C:\Program Files\WindowsSA\wsaupdater.exe

Erst beim letzten klickst du "Yes" und startest den PC neu.
------------------------------------------------------------------------------

#öffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
lösche alles , lasse nur stehen:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

--->ActiveX loeschen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und
Internet-Optionen.
ActiveX-Controls
Schalter Einstellungen
Klicken Sie auf den Button Objekte anzeigen. Eine Liste aller lokalen
ActiveX-Controls öffnet sich. Um zu entscheiden, ob es ich um ein
vertrauenswürdiges Programm handelt, reicht es in der Regel aus,
den Urheber der Komponente ausfindig zu machen.
Wenn "unbekannt dasteht...dann lösche es . (sind die 016 Eintraege im HijackThis...und fast alles Malware in deinem Fall)

<Das (Erkennungstool...loescht nicht)eScan AV Toolkit (mwav.exe) herunterladen, öffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten, bzw
die Dateien im abgesicherten Modus loeschen .
----------------------------------------------------------------------------
http://www.pestpatrol.com/PestInfo/s/search_assistant.asp
http://www.pestpatrol.com/pestinfo/s/srchupdt.asp

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Super vielen Dank, es hat geklappt!!!



MFG

Ralph

#4 Kannste mir auch helfen, hab das gleiche problem nur das die abstände kürzer sind ;(

Logfile of HijackThis v1.99.1
Scan saved at 12:27:03, on 17.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ANWEND~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\svchst.exe
C:\WINDOWS\clfmon.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\AdTools Service\AdTools.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Anwendungen\DialerSchutz\DFInject.exe
C:\Anwendungen\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Anwendungen\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\ANWEND~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\ANWEND~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\alg.exe
C:\Anwendungen\teamspeak2_RC2\TeamSpeak.exe
C:\Game\World of Warcraft\WoW.exe
C:\Program Files\AdTools Service\AdToolsKeep.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Anwendungen\SpywareBlaster\spywareblaster.exe
C:\Dokumente und Einstellungen\ChaosAngel\Desktop\HijackThis.exe
C:\Anwendungen\FireFox\firefox.exe

O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\ANWEND~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SvcH0st] C:\WINDOWS\svchst.exe /i
O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\clfmon.exe
O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitegss32.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Anwendungen\DialerSchutz\Defender.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Anwendungen\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Anwendungen\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Anwendungen\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} - http://install.download-url.de/InstallationsAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{47D2B874-86F0-4E11-B84F-550B8BFF5F0E}: NameServer = 217.237.150.141 217.237.150.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{47D2B874-86F0-4E11-B84F-550B8BFF5F0E}: NameServer = 217.237.150.141 217.237.150.97
O18 - Filter: text/html - {D1828BA1-9AE3-4B03-A101-B83A4BF346B1} - (no file)
O18 - Filter: text/plain - {D1828BA1-9AE3-4B03-A101-B83A4BF346B1} - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Dialerschutz Dienst (DFSVC) - Unknown owner - C:\Anwendungen\DialerSchutz\DFInject.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Anwendungen\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Anwendungen\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ANWEND~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Anwendungen\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\ANWEND~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

#5 Hallo@FSAngel

Das ist eine schwere Verseuchung und wir muessen mit verschiedenen Tools arbeiten, um wirklich alle Malware zu erwischen.

Mache bitte zuerst folgendes:

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/

reinkopieren:
C:\WINDOWS\svchst.exe
C:\windows\system32\elitegss32.exe
C:\WINDOWS\System32\ap9h4qmo.exe

poste mir unbedingt, was angezeigt wird.

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Meldung (Symantec)-- ignorieren
Object: Windows Script Host Shell Object
Activity: Run
File: C:\Dokumente und E..\RegSrch.vbs

Doppelklick:regsrch.vbs

kopiere rein:

{D1828BA1-9AE3-4B03-A101-B83A4BF346B1}

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

das machst du auch mit:

{F0BC061F-DAF9-4533-8011-53BCB4C10307}

LQ

ohbbackup

Elitum

SvcH0st

warten, bis die Suche beendet ist. (Ergebnis bitte posten)


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [SvcH0st] C:\WINDOWS\svchst.exe /i
O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitegss32.exe
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} - http://install.download-url.de/InstallationsAssistent.ocx
O18 - Filter: text/html - {D1828BA1-9AE3-4B03-A101-B83A4BF346B1} - (no file)
O18 - Filter: text/plain - {D1828BA1-9AE3-4B03-A101-B83A4BF346B1} - (no file)

PC neustarten

KillBox
http://www.bleepingcomputer.com/files/killbox.php

<Delete File on Reboot

c:\windows\downloaded program files\InstallationsAssistent.ocx
C:\WINDOWS\svchst.exe
C:\windows\system32\elitegss32.exe
C:\WINDOWS\System32\ap9h4qmo.exe
C:\Program Files\AdTools Service\AdTools.exe
C:\Program Files\AdTools Service\AdToolsKeep.exe

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

-->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process".

PC neustarten

eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

poste mir unbedingt, was angezeigt wird
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Also fangen wir an

C:\WINDOWS\svchst.exe
C:\windows\system32\elitegss32.exe

Sind beide infiziert laut dem tool.

Registry Search Tool :

1. {D1828BA1-9AE3-4B03-A101-B83A4BF346B1} findet da nix

2.
; Registry search results for string "{F0BC061F-DAF9-4533-8011-53BCB4C10307}" 17.02.2005 16:47:15

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/InstallationsAssistent.ocx]
".Owner"="{F0BC061F-DAF9-4533-8011-53BCB4C10307}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/InstallationsAssistent.ocx]
"{F0BC061F-DAF9-4533-8011-53BCB4C10307}"=""

3. ; Registry search results for string "LQ" 17.02.2005 16:48:56

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ecabafca-7f19-11d2-978e-0000f8757e2a}\ProgID]
@="QC.DLQListener.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ecabafca-7f19-11d2-978e-0000f8757e2a}\VersionIndependentProgID]
@="QC.DLQListener"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{98133274-4B20-11D1-AB01-00805FC1270E}]
@="INetInstallQueue"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\QC.DLQListener]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\QC.DLQListener\CLSID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\QC.DLQListener\CurVer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\QC.DLQListener\CurVer]
@="QC.DLQListener.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\QC.DLQListener.1]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\QC.DLQListener.1\CLSID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\Shockwave 10\uicontrol\cancelquestion]

"NISShared"="AQKOiqF6t@Mw1s)0!x'@k-%sRrY{&A8&5Dd1Efp!y&V0t$bfb?4i,
7@h$ouad,jv=]1yq=43m8jDVWW4e]waP7eum@bfwK%jz9'!^X=BgA2v0@lQv&
IEBPET,Sb~hB=JX@YiiKJKaqrUdx,0Yvd.k8MP0D^9]$b7t'a{cGtLa9]t+~1Sy)Y^S
=vPrE9ur92lCx7CtE~50VHbecnG5==Lzuv91}'9hJbQspf'5=v,==OGT+DTQ2V6rd
Wzo=6@ZC(W[tw+2`{,cas}[9$kI2T,3Y_m$Ac_U2$A[=L}GK+45rAL1u=uNK-?
(=t[!N)QIr65]zB)xp~^A?xt?KdK_9(W$ozI68YHh8hdR06rgv'!Complete"

"NISShared"="AQKOiqF6t@Mw1s)0!x'@k-%sRrY{&A8&5Dd1Efp!y&V0t$bfb?4i,
7@h$ouad,jv=]1yq=43m8jDVWW4e]waP7eum@bfwK%jz9'!^X=BgA2v0@lQv&
IEBPET,Sb~hB=JX@YiiKJKaqrUdx,0Yvd.k8MP0D^9]$b7t'a{cGtLa9]t+~1Sy)Y^S=
vPrE9ur92lCx7CtE~50VHbecnG5==Lzuv91}'9hJbQspf'5=v,==OGT+DTQ2V6rdWzo
=6@ZC(W[tw+2`{,cas}[9$kI2T,3Y_m$Ac_U2$A[=L}GK+45rAL1u=uNK-?(=t[!N)Q
Ir65]zB)xp~^A?xt?KdK_9(W$ozI68YHh8hdR06rgv'!Complete"
"CCShared"=")!?jwq.+d?)*UA7'yj5ooLeGKUnNy?BYS&1}-uwU8t~jtJv?l9%^X5^
{M,-KqTwah+DLQA}ogL1_$Tt0qHqxfJth098DU1Xw_@L2j8]IF^!C~=!9Dv&!DBqzfyllez@
=5Ag.r)!{)tm2Jz*(,Gy.c=]@K^$*BB(EComplete"

"NSW_Retail_Help"="le6n8fPR^@mSyZjvOw[oU4tCQiL7&9%%Q(UtM2cGHV_!4VQT+=
6&n[wp{v93rI^4c}ND.?88rH7t)p1upmA5wvIdcAG[zQe-OaX.bK[Rgsa,r9`OUvNBV{I?l!!81Jij%?
5xILM1~G6Pxspf..n4r@uW3F^W}yq@GKZ`Gj?5v?)+KoiPd!4Wbn)fiiKhi8,UO@C(fLx?L@pO?iazr=&c6}
@m`z5E${7$xW+A5?X?UMT@r?ENxt_iOO6{N@EO(K!YK?j+qvmyz9OKI9W&+@DS!a2@V@ZDRC42i=
2~wz=D1sV?$UiqA[Hv,=hVFOy{y.QCH'pb]I[cK@(*zu!kQGJEEbMre$pbS?}ZzTgL~E'8L]J1,Od=j8-t
(PeDx~w`L),FCwaKR@Fg-IEU$-6h)%8$6HTl9@]4u}(+Lq!EFi7?7U7v1Ake%vS)[%$Re&n[7!6~s?il4)
`h@SXbZGEVM{A5~8x}chrN`I!{tQ=_piDldAa?jpraxm{!R[P&-wwW19nHdM6ge~bZSMhxVUv269$~5T=NE}
(dtt1Ih2[,H@s{hvdWotkQ$!E]-{EXt8xjE[4v&8{_'.`-Ur~&V?C-NCCRHH7)[r1)(w-xw=PAf}Fw{Zd-rdVp*]
VW2@lz^nt.=Erg08zG&77{D9Cc_tqv_WUBb*(zQ3JD+9^grlP6!`]`H]D6{!baI@zKfgk@7T@f]J?@d'g&D9o
=Gb31~G9H(ABmiH+Y3AwaVN[IjKw!7QiEk2qPe?ABbdx77mM9KOgQexQ%s@*ZiuN=f1[a8.r~=VZGV?.oTz6cVp)
DEH7u..D{+@G~0t@(h$mxH,9IB5D)O?BH[lr'PJF-EoXO_hj0y80}RSt=D_o5EpMkA@Uz(A[0W$Hi@mr0_p1`BayoK
Auu=$Qxy9bm,3A{%Qnyv=n0X(fCOkKO]I'62-)Of9?^hH3?0Ci!3'WU_fmk[AU5G8Dd}6Y?~BLCR(v)T=
EfdQ4zyR0x~`B2Wg!EaA+Hip?$ge`ADsMmSq3Ee96?f3_v`yWky5S8[bS3h9UKhf%Rz}Om_*B'HX[(8@N
.xgqC5Y&`H~W(gc])P9bzUzM[Bcr]Dn~u,.7.$@Vq.$NfQG^ZP4X-9V-K'?0M+_T&a-M1T+3T[S)HD@AIcc]{Oj&g"

"NSW_Pro_Help"="le6n8fPR^@mSyZjvOw[oU4tCQiL7&9%%Q(UtM2cGHV_!4VQT+=6&n[wp{v93rI^4c}ND
.?88rH7t)p1upmA5wvIdcAG[zQe-OaX.bK[Rgsa,r9`OUvNBV{I?l!!81Jij%?5xILM1~G6Pxspf..n4r@uW3F^W}
yq@GKZ`Gj?5v?)+KoiPd!4Wbn)fiiKhi8,UO@C(fLx?L@pO?iazr=&c6}@m`z5E${7$xW+A5?X?UMT@r?ENxt_iOO6
{N@EO(K!YK?j+qvmyz9OKI9W&+@DS!a2@V@ZDRC42i=2~wz=D1sV?$UiqA[Hv,=hVFOy{y.QCH'pb]I[cK@
(*zu!kQGJEEbMre$pbS?}ZzTgL~E'8L]J1,Od=j8-t(PeDx~w`L),FCwaKR@Fg-IEU$-6h)%8$6HTl9@]4u}(+Lq!EFi7
?7U7v1Ake%vS)[%$Re&n[7!6~s?il4)`h@SXbZGEVM{A5~8x}chrN`I!{tQ=_piDldAa?jpraxm{!R[P&-wwW19nH
dM6ge~bZSMhxVUv269$~5T=NE}(dtt1Ih2[,H@s{hvdWotkQ$!E]-{EXt8xjE[4v&8{_'.`-Ur~&V?C-NCCRHH7)[r1
)(w-xw=PAf}Fw{Zd-rdVp*]VW2@lz^nt.=Erg08zG&77{D9Cc_tqv_WUBb*(zQ3JD+9^grlP6!`]`H]D6{!baI@zKfgk
@7T@f]J?@d'g&D9o=Gb31~G9H7QiEk2qPe?ABbdx77mM9KOgQexQ%s@*ZiuN=f1[a8.r~=VZGV?.oTz6cVp)DEH7u.
.D{+@G~0t@(h$mxH,9IB5D)O?BH[lr'PJF-EoXO_hj0y80}RSt=D_o5EpMkA@Uz(A[0W$Hi@mr0_p1`BayoKAuu=$Q
xy9bm,3A{%Qnyv=n0X(fCOkKO]I'62-)Of9?^hH3?0Ci!3'WU_fmk[AU5G8Dd}6Y?~BLCR(v)T=EfdQ4zyR0x~`B2Wg!
EaA+Hip?$ge`ADsMmSq3Ee96?f3_v`yWky5S8[bS3h9UKhf%Rz}Om_*B'HX[(8@N.xgqC5Y&`H~W(gc])P9bzUzM
[Bcr]P4X-9V-K'?0M+_T&a-M1T+3T[S)HD@AIcc]{Oj&gpcsv7Hq-?A,`V,$ZY&Uu"

"NSW_Trialware_Help"="le6n8fPR^@mSyZjvOw[obK[Rgsa,r9`OUvNBV{I?l!!81Jij%?5xILM1~G6Pxspf..n4r@uW3F
^W}yq@GKZ`Gj?5v?)+KoiPd!4Wbn)fiiKhi8,UO@C(fLx?L@pO?iazr=&c6}@m`z5E${7$xW+A5?X?UMT@r?ENxt_
iOO6{N@EO(K!YK?j+$UiqA[Hv,=hVFOy{y.QCL]J1,Od=j8-t(PeDx~w`L),FCwaKR@Fg-IEU$-6h)%8$6HTl9@]4u}
(+Lq!EFi7?7U7v1Ake%vS)[%$Re&n[7!6~s?il4)`h@SXbZGEVM{A5~8x}chrN`I!{R[P&-wwW19nHdM6ge~bZSMhx
VUv269$~5T=NE}(dtt1Ih2[,H@s{hvdWotkQ$!E]-{EXt8xjE[4v&8{_[r1)(w-xw=PAf}Fw{Zd-rdVp*]VW2@lz^nt.=
Erg08zG&77{D9Cc_tqv_WUBb*(zQ3JD+9^grlP6!`]`H]D6{!baI@zKfgk@7T@f]J?@d'g&D9o=Gb31~G9H(ABmiH+
Y3AwaVN[IjKw!7QiEk2qPe?ABbdx77mM9KOgQexQ%s@*ZiuN=f1[a8.r~=VZGV?.oTz6cVp)DEH7u..D{+@G~0t@
(h$mxH,9IB5D)O?BH[lr'PJF-EoXO_hj0y80}RSt=D_o5EpMkA@Uz(A[0W$Hi@mr0_p1`BayoKAuu=$Qxy9bm,3A{%
Qnyv=n0X(fCOkKO]I'62-)Of9?^hH3?0Ci!3'WU_fmk[AU5G8Dd}6Y?~BLCR(v)T=EfdQ4zyR0x~`B2Wg!EaA+Hip?$ge
`ADsMmSq3Ee96?f3_v`yWky5S8[bS3h9UKhf%Rz}Om_*B'HX[(8@N.xgqC5Y&`H~W(gc])P9bzUzM[Bcr]Dn~u,.7.
$@Vq.$NfQG^ZP4X-9V-K'?0M+_T&a-M1T+3T[S)HD@AIcc]{Oj&g"

"NSW_CTO_Help"="U4tCQiL7&9%%Q(UtM2cGHV_!4VQT+=6&n[wp{v93rI^4c}ND.?88rH7t)p1upmA5wvIdcAG
[zQe-OaX.bK[Rgsa,r9`OUvNBV{I?l!!81Jij%?5xILM1~G6Pxspf..n4r@uW3F^W}yq@GKZ`Gj?5v?)+KoiPd!4Wbn)
fiiKhi8,UO@C(fLx?L@pO?iazr=&c6}@m`z5Ext_iOO6{N@EO(K!YK?j+qvmyz9OKI9W&+@DS!a2@V@ZDRC42i=2
~wz=D1sV?H'pb]I[cK@(*zu!kQGJEEbMre$pbS?}ZzTgL~E'8L]J1,Od=j8-t(PeDx~w`L),FCwaKR@Fg-IEU$-6h)%8
$6HTl9@]4u}(+Lq!EFi7?7U7v1Ake%vS)[%$Re&n[7!6~s?il4)`h@SXbZGEVM{A5~8x}chrN`I!{tQ=_piDldAa?jpraxm
{!R[P&-wwW19nHdM6ge~bZSMhxVUv269$~5T=NE}(dtt1Ih2[,H@s{hvdWotkQ$!E]-{EXt8xjE[4v&8{_'.`-Ur~&V?C-
NCCRHH7)[r1)(w-xw=PAf}Fw{Zd-rdVp*]VW2@lz^nt.=Erg08zG&77{D9Cc_tqv_WUBb*(zQ3JD+9^grlP6!`]`
H]D6{!baI@zKfgk@7T@f]J?@d'g&D9o=Gb31~G9H(ABmiH+Y3AwaVN[IjKw!7QiEk2qPe?ABbdx77mM9KOgQexQ%s
@*ZiuN=f1[a8.r~=VZGV?.oTz6cVp)DEH7u..D{+@G~0t@(h$mxH,9IB5D)O?BH[lr'PJF-EoXO_hj0y80}RSt=D_o5EpMkA@
Uz(A[0W$Hi@mr0_p1`BayoKAuu=$Qxy9bm,3A{%Qnyv=n0X(fCOkKO]I'62-)Of9?^hH3?0Ci!3'WU_fmk[AU5G8Dd}6Y?
~BLCR(v)T=EfdQ4zyR0x~`B2Wg!EaA+Hip?$ge`ADsMmSq3Ee96?f3_v`yWky5S8[bS3h9UKhf%Rz}Om_*B'HX[(8@N
.xgqC5Y&`H~W(gc])P9bzUzM[Bcr]P4X-9V-K'?0M+_T&a-M1T+3T[S)HD@AIcc]{Oj&gpcsv7Hq-?A,`V,$ZY&Uu"

"NSW_ESD_Help"="le6n8fPR^@mSyZjvOw[oU4tCQiL7&9%%Q(UtM2cGHV_!4VQT+=6&n[wp{v93rI^4c}ND.?88rH7t)
p1upmA5wvIdcAG[zQe-OaX.bK[Rgsa,r9`OUvNBV{I?l!!81Jij%?5xILM1~G6Pxspf..n4r@uW3F^W}yq@GKZ`Gj?5v?)+
KoiPd!4Wbn)fiiKhi8,UO@C(fLx?L@pO?iazr=&c6}@m`z5E${7$xW+A5?X?UMT@r?ENxt_iOO6{N@EO(K!YK?j+qvmyz9
OKI9W&+@DS!a2@V@ZDRC42i=2~wz=D1sV?$UiqA[Hv,=hVFOy{y.QCH'pb]I[cK@(*zu!kQGJEEbMre$pbS?}ZzTgL~E'
8L]J1,Od=j8-t(PeDx~w`L),FCwaKR@Fg-IEU$-6h)%8$6HTl9@]4u}(+Lq!EFi7?7U7v1Ake%vS)[%$Re&n[7!6~s?il4)`
h@SXbZGEVM{A5~8x}chrN`I!{tQ=_piDldAa?jpraxm{!R[P&-wwW19nHdM6ge~bZSMhxVUv269$~5T=NE}(dtt1Ih2[,
H@s{hvdWotkQ$!E]-{EXt8xjE[4v&8{_'.`-Ur~&V?C-NCCRHH7)[r1)(w-xw=PAf}Fw{Zd-rdVp*]VW2@lz^nt.=Erg08zG&77
{D9Cc_tqv_WUBb*(zQ3JD+9^grlP6!`]`H]D6{!baI@zKfgk@7T@f]J?@d'g&D9o=Gb31~G9H7QiEk2qPe?ABbdx77mM9K
OgQexQ%s@*ZiuN=f1[a8.r~=VZGV?.oTz6cVp)DEH7u..D{+@G~0t@(h$mxH,9IB5D)O?BH[lr'PJF-EoXO_hj0y80}RSt=D_
o5EpMkA@Uz(A[0W$Hi@mr0_p1`BayoKAuu=$Qxy9bm,3A{%Qnyv=n0X(fCOkKO]I'62-)Of9?^hH3?0Ci!3'WU_fmk[AU5G8Dd}
6Y?~BLCR(v)T=EfdQ4zyR0x~`B2Wg!EaA+Hip?$ge`ADsMmSq3Ee96?f3_v`yWky5S8[bS3h9UKhf%Rz}Om_*B'HX[(8@N.xgqC
5Y&`H~W(gc])P9bzUzM[Bcr]Dn~u,.7.$@Vq.$NfQG^ZP4X-9V-K'?0M+_T&a-M1T+3T[S)HD@AIcc]{Oj&g"

"NCS_Core"="EPI$6z(@C@}_'H*_)6FBJD}!pMk!.A89vZ[c9@AOBU$S)zEuA?9b'.u~hX7H}AK@O6?N]?=sJnxNB4_=
2lGK@6GoJ?6T+[*0H2$DX28HbZ!Hg=BT%&CTrL6I4EUuW)&v$=xM$iu9e8DVShHh@`~Zd?O{1DT*px(rC$LCg*V%T@l?]
=SHlQyaye+Z66K*i?qG*q*t+z~we}mNFh&=19}t%f6T6}Gt*cMW!IKO{=4TKYL-1s^MbQfAZOQxz?`@azB{9K?r2Y{OrdQgA
?g3CMH}rg'hmI5OmUs$A?E4{LZN0eEG*r!sfmpj2?A.d_k4xWyx9zpF(5`yO@kiIAZjT'eKV*n?WkHoY8E`Di8mi3t6Z,OYNRzR?@
ptExFdsgPQE,vV(97Fy8Zh^Y6_&5_&JzB7QBpX-@ZO`4G!11{zFSZCww$w7=~sxV9Vel3L*YdOJ^wy7?m}!PaDWF(Nx%nIdS@
l&Azz]BdB{0d6REd]H9P3c=!==aC@}=-p4{Jk-PtDR=gqm0_^XIhs}CUjo~Wzw9[zA@ql6M!izj2I4Vz{6@92K,5v&Bb`3wzAV'*
[4?LY?~N9ftn`Norton_CleanSweep"

"Erynis_Beta_Files"="U6(i?`diI9p8)fj7@`yEDwu$_vXSk@0F09W9YtpBUGDo2&b`5?!wKCz,
{C+NAVO'Ivk@D9^%I1%]V0Ta+`(),o._O=zJ-a*cFmG'@8aH+'j}!?L~Or6_n[n?v*78odB*a8YuvB-]
^ZOK2Ilv)Kp[[9=1~spGyH1u^R?fAsg}%=K,CU?3Phs&e-FuO2Ir(9SlR&R(o]M@RL1KLrJxf=,tie1!46&=
KDEaXhmcE9SwS{mwbJi7+{.Ua]BLXAO-kq5z$~*+mnu_oX28Y?dmmh_$NuloK&HFPZSSz@~XBPJ%+SAX
[^dTVrpE8AJ%G^w'ONI=Q3!PM=JvS@CUAGN^QzuWYe[$T6Ryh@9d%vHNiB({``ja2sEZD@qX=P%WdZXj
[ZnSf{~F&@d@=ND]RU-j)~r2nj'fi?H5U64{vJ}jl!~tY]mD==02R3S1chvpokhCgAyb?9R(~O]}G8lyp),ESPGnTAA[
-cuHqFslS2Z,G?YVj@'d%Gt.V?}qx^7Foy`H*9FSu4ZM*tY[]shi^cJkv@5d(ITXz0Y,NsJ=!bkwx?WVA6g.`jN+}KZ
,$,d5$?x4u)hUYt5O?zR_MltCCAHoI?Zjei[ddu(~,89k3@9sA6x8=zbB!(plQah$[=^Z~7xKbWxFjL(wo^WD+AM=&&
.K*2=Lk)n$8iJHa?Xov]8!+OD[GN1SoBI0Q?e%l%-75JyrDDs!1e4^~@(AX9[R~?TwbDbG*Da(V@Ra)Q(jsUnC(Gt*s'-
y(9Rr&a@?f++f+5$Oi3'wd8mNsS6wJT9B2rP]qdp73AQAaI=xAC9V?k1mx7YAN?P7kcP8uw}D~luYZ]2ie81
ja%$]T3}beUMN5iEg*Ay{Ex+^xf[jBE0pa(@Vj8v}daSe=$~4S%05xQvU3?Nh$C_fVjz8Nb}Si%]G9A.@$vs8
]l_bZ%vpWNg.(@^rq_7[@@.7Cnd8%{BqP?94Z%H]F9`uq~44JzP&HAsG`{q5MP.1i1u4Ecfls9@,Om1CY6Kk"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Memory Management]
"NonPagedPoolQuota"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Memory Management]
"PagedPoolQuota"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Session Manager\Memory Management]
"NonPagedPoolQuota"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Session Manager\Memory Management]
"PagedPoolQuota"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"NonPagedPoolQuota"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"PagedPoolQuota"=dword:00000000

[HKEY_USERS\S-1-5-21-73586283-1563985344-854245398-1004\Software\LQ]

[HKEY_USERS\S-1-5-21-73586283-1563985344-854245398-1004\Software\Macromedia\Shockwave 10\uicontrol\cancelquestion]


4. ; Registry search results for string "ohbbackup" 17.02.2005 16:49:49

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\ohbbackup]

[HKEY_LOCAL_MACHINE\SOFTWARE\ohbbackup\EliteSideBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\ohbbackup\EliteToolBar]

5. ; Registry search results for string "Elitum" 17.02.2005 16:50:45

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Elitum]

[HKEY_LOCAL_MACHINE\SOFTWARE\Elitum\EliteSideBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Elitum\EliteToolBar]

Und das letzte hat er nix gefunden Hoffe du blickst da durch ich schreib gleich weiter,

Alles bis zum letzten tool gemacht :

File C:\WINDOWS\clfmon.exe infected by "Trojan-Downloader.Win32.Agent.is" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\clfmon.exe infected by "Trojan-Downloader.Win32.Agent.is" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\70tovmto.exe infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\wsem303.dll infected by "Trojan-Downloader.Win32.Dyfuca.dt" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\elitebht32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\elitecar32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\elitecdx32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\elitedcp32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\elitedoolsav.dat infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\eliteerror32.dat infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\elitefba32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\eliteonr32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\eliterct32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\elitersv32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\elitesij32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\elitevpl32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\elitexdk32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\elitezio32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\elitezzi32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\q17i9a4j.exe infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\qh4mkbv9.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\70tovmto.exe infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\wsem303.dll infected by "Trojan-Downloader.Win32.Dyfuca.dt" Virus. Action Taken: No Action Taken.



Könnten mehr sein aber mein Rechner stürtz dauernd ab, ohne eine fehlermeldung nix.. er bleibt einfach stehen und reagiert netmehr ;(

#7 Hallo@FSAngel

Start<Ausfuehren<regedit:

setze den Wert wieder :
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Memory Management]
"NonPagedPoolQuota"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Memory Management]
"PagedPoolQuota"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Session Manager\Memory Management]
"NonPagedPoolQuota"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Session Manager\Memory Management]
"PagedPoolQuota"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"NonPagedPoolQuota"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"PagedPoolQuota"=dword:00000000


AntiVir TR/Dldr.Agent.GD.1 (0.70 seconds taken)
Avast No viruses found (3.03 seconds taken)
AVG Antivirus No viruses found (1.54 seconds taken)
BitDefender Trojan.StartPage.NK (0.87 seconds taken)
ClamAV Trojan.Startpage-212 (0.83 seconds taken)
Dr.Web Trojan.Click.233 (0.84 seconds taken)
F-Prot Antivirus No viruses found (0.20 seconds taken)
Fortinet No viruses found (0.39 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.StartPage.nk (0.99 seconds taken)
mks_vir Trojan.Startpage.Nk (0.21 seconds taken)
NOD32 Win32/StartPage.NK (0.46 seconds taken)
Norman Virus Control Sandbox: W32/Malware;

[ General information
* Creating several executable files on hard-drive.
* File length: 15872 bytes.
[ Changes to filesystem ]
* Creates file C:\windows\system\elitenun32.exe.
* Creates directory C:\WINDOWS\EliteToolBar.
* Creates file C:\WINDOWS\TEMP\tmp9099.tmp.
* Creates file C:\WINDOWS\SYSTEM\eliteerror32.dat.
[ Changes to registry ]
* Creates key "HKCU\Software\LQ".
* Creates key "HKLM\Software\ohbbackup".
* Creates key "HKLM\Software\Elitum".
* Sets value "AD"="0" in key "HKCU\Software\LQ".
* Sets value "AC"="0" in key "HKCU\Software\LQ".
* Sets value "U"="0" in key "HKCU\Software\LQ".
* Sets value "I"="{000000-0000-000000" in key "HKCU\Software\LQ".
* Sets value "TM"="10" in key "HKCU\Software\LQ".
* Creates value "antiware"="c:\windows\system\elitenun32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
[ Network services ]
* Looks for an Internet connection.
* Downloads file from **http://update32.searchmiracle.com/update.php?0&c=L&os=XP&init=1&id={000000-0000-000000&v=3.2&country=&state=&city=* as C:\WINDOWS\TEMP\tmp9099.tmp.
[ Process/window information ]
* Creates a mutex l4ajgfGb.
* Enumerates running processes.
* Enumerates running processes several parses....
* Modifies other process memory.
* Creates a remote thread.
* Will automatically restart after boot (I'll be back...). (1.56 seconds taken)

_______________________________________________________________________________
Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/

reinkopieren:
C:\windows\system32\elitegss32.exe

poste mir unbedingt, was angezeigt wird.--> abkopieren !!!!!!!!!!!!!

#Gehe auf diese Seite: http://www.lavasofthelp.com/submit/
melde dich an und kopiere in das Fenster
"Submission File":
nacheinander alle diese Dateien:

C:\WINDOWS\clfmon.exe
C:\WINDOWS\system32\elitebht32.exe
C:\WINDOWS\system32\elitecar32.exe
C:\WINDOWS\system32\elitecdx32.exe
C:\WINDOWS\system32\elitedcp32.exe
C:\WINDOWS\system32\elitedoolsav.dat
C:\WINDOWS\system32\eliteerror32.dat
C:\WINDOWS\system32\elitefba32.exe
C:\WINDOWS\system32\eliteonr32.exe
C:\WINDOWS\system32\eliterct32.exe
C:\WINDOWS\system32\elitersv32.exe
C:\WINDOWS\system32\elitesij32.exe
C:\WINDOWS\system32\elitevpl32.exe
C:\WINDOWS\system32\elitexdk32.exe
C:\WINDOWS\system32\elitezio32.exe
C:\WINDOWS\system32\elitezzi32.exe
C:\WINDOWS\system32\q17i9a4j.exe
C:\WINDOWS\system32\qh4mkbv9.dll

KillBox
http://www.bleepingcomputer.com/files/killbox.php

<Delete File on Reboot--> anhaken

kopiere rein:
C:\WINDOWS\Downloaded Program Files\InstallationsAssistent.ocx
C:\WINDOWS\svchst.exe
C:\windows\system32\elitegss32.exe
C:\WINDOWS\System32\ap9h4qmo.exe
C:\WINDOWS\clfmon.exe
C:\WINDOWS\70tovmto.exe
C:\WINDOWS\wsem303.dll
C:\WINDOWS\system32\elitebht32.exe
C:\WINDOWS\system32\elitecar32.exe
C:\WINDOWS\system32\elitecdx32.exe
C:\WINDOWS\system32\elitedcp32.exe
C:\WINDOWS\system32\elitedoolsav.dat
C:\WINDOWS\system32\eliteerror32.dat
C:\WINDOWS\system32\elitefba32.exe
C:\WINDOWS\system32\eliteonr32.exe
C:\WINDOWS\system32\eliterct32.exe
C:\WINDOWS\system32\elitersv32.exe
C:\WINDOWS\system32\elitesij32.exe
C:\WINDOWS\system32\elitevpl32.exe
C:\WINDOWS\system32\elitexdk32.exe
C:\WINDOWS\system32\elitezio32.exe
C:\WINDOWS\system32\elitezzi32.exe
C:\WINDOWS\system32\q17i9a4j.exe
C:\WINDOWS\system32\qh4mkbv9.dll
C:\WINDOWS\70tovmto.exe
C:\WINDOWS\wsem303.dll

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

-->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process".

PC neustarten

C:\WINDOWS\TEMP\--> suche und loesche Datein: tmp

#öffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
lösche alles , lasse nur stehen:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php

+ poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit