TrojanerTR/Dldr. Betty-A/www.toolbar.desktoptraffic.net!!!

#1 Hallo Leute,

heute habe ich mir den Trojaner TR/Dldr. Betty A eingefangen. Habe bereits mehrere Programme (Pestpatrol, AntiVir, a-squared,...) laufen lassen (auch im abgesicherten Modus), aber leider ohne Erfolg. Er ist immer noch da...

Das große problem ist auch, das er mir auf diversen Seiten immer einen Link einbaut, der mich zu folgender Seite leiten will: http://toolbar.desktoptraffic.net/cgi-bin//ezlclk.fcgi?id=7

In der Regestrie (von XP) habe ich ihn auch schon gelöscht, aber es bringt nix. Ich lande auch immer, wenn er eine Seite nicht findet auf www.toolbar.desktoptraffic.net!!!

Was kann ich noch tun?? Gibt es noch andere möglichkeiten, außer meine FP zu formatieren??

Danke im voraus...

xXTSMXx
__________
Alles kann, nix muss... (...funktionieren!...)

#2 Hallo@xXTSMXx

HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

1.Log
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hy....

danke für die links, allerdings hatte der mittlerweile mein System so angegriffen, das ich ein Format machen musste... konnte irgendtwann nix mehr machen...


Trotzdem danke!!
__________
Alles kann, nix muss... (...funktionieren!...)

#4 Hallo,
ich habe das selbe Problem wie xXTSMXx .
Ich habe auch schon einen Scan mit dem Programm durchgeführt:

Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 21:44:41, on 07.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\defragfat32z.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe
D:\Programme\mIRC\mirc.exe
D:\Programme\FlashFXP\flashfxp.exe
D:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\hijackthis199_beta\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/sidesearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ALEX~1.GOB\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\System32\winb2s32.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINDOWS\System32\dsktrf.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: (no name) - {FFD4E418-DB8E-4B16-B60A-94206217559A} - C:\WINDOWS\System32\peopdea.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - (no file)
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfat32z.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://2awm.com/pop/chm/sext2sp.chm::/on-line.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{68DFDC11-BCA3-4AC3-BA5E-297ABC481679}: NameServer = 217.237.149.161 217.237.151.225
O18 - Filter: text/plain - {C77DEDCC-834B-4667-A059-2ED25BDD8532} - C:\WINDOWS\System32\peopdea.dll
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Platinum - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe

Wundert euch nicht, wenn ihr da ein paar Sex-Links seht, ich weiß auch nicht wo die herkommen...

Danke im vorraus
MfG

#5 also die XXX links schreibt dir Betty ins System....

War bei mir genau so....
__________
Alles kann, nix muss... (...funktionieren!...)

#6 Hallo@Gobbles

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Gehe in die Registry
Start<Ausfuehren<regedit

Loesche RECHTS in der Registry folgende Schluessel

HKEY_CLASSES_ROOT\clsid\{4D568F0F-8AC9-40AB-88B7-415134C78777}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D568F0F-8AC9-40AB-88B7-415134C78777}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar {52FE5233-367C-4EFB-BDD7-0BE4D212C107}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs C:\WINDOWS\System32\winb2s32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09C14745-90FD-42D1-9276-4924D7DBC274}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4D568F0F-8AC9-40AB-88B7-415134C78777}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52FE5233-367C-4EFB-BDD7-0BE4D212C107}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C5E5671-7A1D-4AE8-91F0-496ADF2825F7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.amo.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.amo
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.dbi.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.dbi
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.iiittt.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.iiittt
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.momo.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.momo
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.ohb.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.ohb
HKEY_LOCAL_MACHINE\SOFTWARE\Enconfidence\AL
HKEY_LOCAL_MACHINE\SOFTWARE\Enconfidence\ChannelManager
HKEY_LOCAL_MACHINE\SOFTWARE\Enconfidence\Directory
HKEY_LOCAL_MACHINE\SOFTWARE\Enconfidence\MyDailyHoroscope
HKEY_LOCAL_MACHINE\SOFTWARE\Enconfidence\Offline
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{07E9CDF4-20D2-46B1-B681-663968F527CE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/winb2s32.dll
HKEY_CURRENT_USER\Software\aaa_soft
HKEY_CLASSES_ROOT\clsid\{08227B4B-54FE-4C4D-809F-BCA46292FC5B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08227B4B-54FE-4C4D-809F-BCA46292FC5B}


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/sidesearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ALEX~1.GOB\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\System32\winb2s32.dll (file missing)
O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINDOWS\System32\dsktrf.dll
O2 - BHO: (no name) - {FFD4E418-DB8E-4B16-B60A-94206217559A} - C:\WINDOWS\System32\peopdea.dll (file missing)
O3 - Toolbar: (no name) - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - (no file)
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfat32z.exe ["Backdoor.Win32.Rbot.dc"]
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://2awm.com/pop/chm/sext2sp.chm::/on-line.exe
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Filter: text/plain - {C77DEDCC-834B-4667-A059-2ED25BDD8532} - C:\WINDOWS\System32\peopdea.dll

PC neustarten

#C:\Windows\Downloaded Programm Files\ --> ALLE löschen
damit das hier alles verschwindet:
<C:\WINDOWS\\downloaded program files\winb2s32.inf
<sext2sp.chm::/on-line.exe

#Start<Ausfuehren<cmd
reinkopieren:
regsvr32 /u c:\system32\peopdea.dll
<enter<

versuche ob, folgende dll auch funktionieren:
<regsvr32 /u c:\system32\ineb.dll
<regsvr32 /u c:\system32\gws.dll
<regsvr32 /u c:\system32\chgrgs.dll
<regsvr32 /u c:\system32\abeb.dll
<regsvr32 /u c:\system32\bmeb.dll
<regsvr32 /u c:\system32\sbus.dll
<regsvr32 /u c:\system32\drbr.dll

diejenige, die du findest , loescht du dann mit der Killbox:
C:\WINDOWS\System32\.....dll

KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
http://www.bleepingcomputer.com/files/killbox.php

C:\WINDOWS\System32\peopdea.dll
C:\WINDOWS\System32\winb2s32.dll
C:\WINDOWS\System32\dsktrf.dll
C:\WINDOWS\system32\defragfat32z.exe
C:\WINDOWS\system32\reg6523.exe
C:\WINDOWS\system32\b2s_cache

PC neustarten

#öffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
lösche alles , lasse nur stehen:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken

1) lade rem.zip herunter http://derbilk.de/rem.zip (direkter download-link).
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)
3) starte den rechner im abgesicherten modus.
4) starte die datei rem.bat, scannen lassen.
5) starte den rechner anschließend im normalen modus.
6) unter C:\ sollte nun eine datei namens log.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.
erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.
wurde eine malware entfernt, sollten noch zusätzlich zur log.txt unter C:\ die Dateien bad.reg und bad.zip erstellt worden sein.
Bitte diese Dateien zunächst so belassen, nicht öffnen !
http://www.hijackthis.de/forum/showthread.php?t=812
Alternativ-Download: http://www.hijackthis.de/downloads/rem.zip

und poste das Log noch mal.

______________________________________________________________

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo,

ich hoffe jemand liest dies hier, auch wenn der Thread bereits etwas älter ist....

Ich habe exakt das selbe Problem wie der Threadstarter, zu Silvester habe ich meine Festplatte formatiert und wollte so einen "Neuanfang" mit meinen PC machen und so mal ordentlich aufräumen. Leider habe ich aber seit einigen Tagen immer wieder (ob ich etwas in der Registrierung lösche, wie tlw. hier im Forum beschrieben, oder nicht) das Problem das ich mit zahllosen Links die sich in irgendwelchen Texten bilden, auf die Seite www.toolbar.desktoptraffic.net geleitet werden soll.
Tlw. öffnen sich beim Start des IE irgendwelche Sexsearch-Seiten (ich glaube das ist sogar der richtige Name). Ich habe nie solche Seiten im Netz aufgesucht und doch tauchen sie immer mal wieder plötzlich auf und zeigen sehr wenig jugendfreie Bilder. Was auch hin und wieder passiert: Nachdem ich im Internet war und wieder zurück auf den Desktop gehe, erscheinen dort miteinmal Internetverknüpfungen von Partnertreffs oder soetwas....hängt das evtl. alles irgenwie ineinander ?

Es wär echt toll wenn mir jemand weiterhelfen könnte wie ich diese Probleme abstellen kann.

Aber bitte Schritt für Schritt, ich bin alles andere als ein Computerfachmann - DANKE.

Hier noch meine Logfile von Hijack, so wie ich das sehe scheint Ihr ja etwas damit anfangen zu können:

Eins noch, meine Virensoftware AntiVirenKit2004 hat keine Viren oder dergleichen mehr finden können!


Logfile of HijackThis v1.99.0
Scan saved at 23:14:19, on 08.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
X:\Programme\AntiVirenKit 2004\AVKService.exe
X:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\System32\ctfmon.exe
X:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
X:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
X:\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.popupsearches.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.popupsearches.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.popupsearches.com/sidesearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.ebay.de/ws/eBayISAPI.dll?MyeBay&LogUID=reival&CurrentPage=MyeBayAllSelling&ssPageName=STRK:ME:LNLK
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.popupsearches.com/sidesearch.html
O2 - BHO: ohb - {285B5CCD-C3F0-4EB6-9632-7D0A3C3AF824} - C:\WINDOWS\System32\hsrb.dll
O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINDOWS\System32\dsktrf.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = X:\Programme\Microsoft Office\Office\OSA9.EXE
O23 - Service: AVK Service - Unknown - X:\Programme\AntiVirenKit 2004\AVKService.exe
O23 - Service: AVK Wächter - Unknown - X:\Programme\AntiVirenKit 2004\AVKWCtl.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

#8 Hallo!

Mein Antivir meldet ständig, dass der Trojaner TR/Dldr.Small.OC sich versucht einzuschleichen. Was kann ich dagegen tun, oder was soll ich machen? Habe schon mehrere Scans gemacht, aber ohne Erfolg.

Vielen Dank!

Logfile of HijackThis v1.99.0
Scan saved at 13:10:42, on 09.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Download Files\Antivir\hijackthis199_beta\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
O4 - Startup: winupdate76125254[1].exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD LT 2002 Deu\InstFred.ocx
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2768f8a00666d2858718/netzip/RdxIE601_de.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD LT 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcPreview.ocx
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EpsonBidirectionalService - Unknown - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#9 Hallo@Swen

#Start<Ausfuehren<cmd
reinkopieren:
regsvr32 /u c:\system32\hsrb.dll
klicke <enter<

einkopieren:
regsvr32 /u c:\system32\dsktrf.dll
klicke <enter<

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.popupsearches.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.popupsearches.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.popupsearches.com/sidesearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.ebay.de/ws/eBayISAPI.dll?MyeBay&LogUID=reival&CurrentPage=MyeBayAllSelling&ssPageName=STRK:ME:LNLK
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.popupsearches.com/sidesearch.html
O2 - BHO: ohb - {285B5CCD-C3F0-4EB6-9632-7D0A3C3AF824} - C:\WINDOWS\System32\hsrb.dll
O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINDOWS\System32\dsktrf.dll

PC neustarten

Loeschen:
C:\WINDOWS\System32\dsktrf.dll
C:\WINDOWS\System32\hsrb.dll

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

CWShredder 2.12 [2004-12-13]
http://www.majorgeeks.com/download3019.html

#AboutBuster -->poste das Log vom Scan
www.malwarebytes.biz/AboutBuster.zip

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein --> und poste das neue Log vom HijackThis
-------------------------------------------------------------------------------------------------
Lade: FindIt.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/
Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages]
<DOS oeffnet sich -->warte den Scan ab --> es oeffnet sich der Texteditor --> und poste den Text von output.txt.

Please download DllCompare from here
http://www.atribune.org/downloads/DllCompare.exe

klick: Locate.com button.
wenn der Scan beendet ist
klick:Compare button
klick: und erstelle das Log--->bitte posten

Installiere und aktualisiere bitte Adaware:
http://www.download.com/Ad-Aware-SE-Personal-Edition/3000-8022_4-10045910.html?part=dl-ad-aware&subj=dl&tag=top5

Lade das vx2 Plugin dafuer und nutze es nach Anleitung:
http://www.lavasoft.de/software/addons/vx2cleaner.shtml
http://fileforum.betanews.com/detail/965718306/1
-->poste das Log vom SCan
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hallo Sabina,

vielen, vielen Dank für Deine Hilfe !!!!!


Ich habe (hoffendlich) alles gemacht was Du geschrieben hast.

Der CWS-Shredder scheint nicht richtig zu laufen, wenn ich auf "Scan only" klicke findet er eine Datei Namens "CWS-Smart Finder" unter "Fix" stürzt der Shredder ab und schmeißt mich raus - ich habe diesen Schritt daher einfach übersprungen, hoffe das war ok so.

Der Scan des Buster:

-- Scan 1 ---------------------------
About:Buster Version 4.0
Reference List : 19

No ADS found on system
Attempted Clean Of Temp folder.
Pages Reset... Done!

-- Scan 2 ---------------------------
About:Buster Version 4.0
Reference List : 19

No ADS found on system
Attempted Clean Of Temp folder.
Pages Reset... Done!

Der Scan des Hijack:

Logfile of HijackThis v1.99.0
Scan saved at 17:55:10, on 09.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
X:\Programme\AntiVirenKit 2004\AVKService.exe
X:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\System32\ctfmon.exe
X:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
X:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\swen\LOKALE~1\Temp\Rar$EX00.125\AboutBuster\AboutBuster.exe
X:\Temp\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = X:\Programme\Microsoft Office\Office\OSA9.EXE
O23 - Service: AVK Service - Unknown - X:\Programme\AntiVirenKit 2004\AVKService.exe
O23 - Service: AVK Wächter - Unknown - X:\Programme\AntiVirenKit 2004\AVKWCtl.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Das ist der Inhalt des Output Editors:

Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

------- System Files in System32 Directory -------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D461-57A2

Verzeichnis von C:\WINDOWS\System32

06.01.2005 20:55 <DIR> dllcache
31.12.2004 19:55 <DIR> Microsoft
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 2.226.536.448 Bytes frei

------- Hidden Files in System32 Directory -------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D461-57A2

Verzeichnis von C:\WINDOWS\System32

06.01.2005 20:55 <DIR> dllcache
31.12.2004 19:49 488 logonui.exe.manifest
31.12.2004 19:49 488 WindowsLogon.manifest
31.12.2004 19:49 749 nwc.cpl.manifest
31.12.2004 19:49 749 sapi.cpl.manifest
31.12.2004 19:49 749 wuaucpl.cpl.manifest
31.12.2004 19:49 749 cdplayer.exe.manifest
31.12.2004 19:49 749 ncpa.cpl.manifest
7 Datei(en) 4.721 Bytes
1 Verzeichnis(se), 2.226.536.448 Bytes frei

---------- Files Named "Guard" -------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D461-57A2

Verzeichnis von C:\WINDOWS\System32

02.01.2005 12:27 223.654 guard.tmp
1 Datei(en) 223.654 Bytes
0 Verzeichnis(se), 2.226.536.448 Bytes frei

--------- Temp Files in System32 Directory --------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D461-57A2

Verzeichnis von C:\WINDOWS\System32

02.01.2005 12:27 223.654 guard.tmp
10.08.2004 21:52 20.480 setb4.tmp
10.08.2004 21:52 20.480 setb5.tmp
29.08.2002 13:00 2.951 CONFIG.TMP
4 Datei(en) 267.565 Bytes
0 Verzeichnis(se), 2.226.536.448 Bytes frei

---------------- User Agent ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]


------------ Keys Under Notify ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


---------------- Xfind Results -----------------

Der Befehl "Xfind" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

-------------- Locate.com Results ---------------


Das resultat des DLLCompare:

* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found "
________________________________________________

1.274 items found: 1.274 files, 0 directories.
Total of file sizes: 262.067.982 bytes 249,93 M

Administrator Account = True

--------------------End log---------------------


und zum Schluß der Scan des Ad-Aware:


Ad-Aware SE Build 1.05
Logfile Created on:Sonntag, 9. Januar 2005 18:02:06
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R24 29.12.2004
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Tracking Cookie(TAC index:3):5 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


09.01.2005 18:02:06 - Scan started. (Full System Scan)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 680
ThreadCreationTime : 09.01.2005 16:14:38
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 780
ThreadCreationTime : 09.01.2005 16:14:44
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 804
ThreadCreationTime : 09.01.2005 16:14:45
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 848
ThreadCreationTime : 09.01.2005 16:14:46
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 860
ThreadCreationTime : 09.01.2005 16:14:46
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1036
ThreadCreationTime : 09.01.2005 16:14:47
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1164
ThreadCreationTime : 09.01.2005 16:14:47
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1364
ThreadCreationTime : 09.01.2005 16:14:47
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1420
ThreadCreationTime : 09.01.2005 16:14:47
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1616
ThreadCreationTime : 09.01.2005 16:14:47
BasePriority : Normal
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:11 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1740
ThreadCreationTime : 09.01.2005 16:14:48
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:12 [avkservice.exe]
FilePath : X:\Programme\AntiVirenKit 2004\
ProcessID : 1836
ThreadCreationTime : 09.01.2005 16:14:48
BasePriority : Normal
FileVersion : 1, 0, 1, 5
ProductVersion : 11, 0, 0, 0
ProductName : AVKService Module
FileDescription : AVKService Module
InternalName : AVKService
LegalCopyright : Copyright G DATA Software AG 2001-2003
OriginalFilename : AVKService.EXE

#:13 [avkwctl.exe]
FilePath : X:\Programme\AntiVirenKit 2004\
ProcessID : 1852
ThreadCreationTime : 09.01.2005 16:14:48
BasePriority : Normal
FileVersion : 17, 0, 0, 1
ProductVersion : 12, 0, 0, 0
ProductName : AVK
FileDescription : AVKWCtl Monitor Service
InternalName : AVKWCtl
OriginalFilename : AVKWCtl.EXE

#:14 [nvsvc32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1896
ThreadCreationTime : 09.01.2005 16:14:48
BasePriority : Normal
FileVersion : 6.13.10.4109
ProductVersion : 6.13.10.4109
ProductName : NVIDIA Driver Helper Service, Version 41.09
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 41.09
InternalName : NVSVC
LegalCopyright : (C) NVIDIA Corporation. All rights reserved.
OriginalFilename : nvsvc32.exe

#:15 [wdfmgr.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1972
ThreadCreationTime : 09.01.2005 16:14:48
BasePriority : Normal
FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act)
ProductVersion : 5.2.3790.1230
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows User Mode Driver Manager
InternalName : WdfMgr
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : WdfMgr.exe

#:16 [soundman.exe]
FilePath : C:\WINDOWS\
ProcessID : 536
ThreadCreationTime : 09.01.2005 16:14:51
BasePriority : Normal
FileVersion : 5.0.14
ProductVersion : 5.0.14
ProductName : Realtek Sound Manager
CompanyName : Realtek Semiconductor Corp.
FileDescription : Realtek Sound Manager
InternalName : ALSMTray
LegalCopyright : Copyright (c) 2001-2002 Realtek Semiconductor Corp.
OriginalFilename : ALSMTray.exe
Comments : Realtek AC97 Audio Sound Manager

#:17 [avkpop.exe]
FilePath : C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\
ProcessID : 556
ThreadCreationTime : 09.01.2005 16:14:51
BasePriority : Normal
FileVersion : 3, 0, 2, 0
ProductVersion : 3, 0, 2, 0
ProductName : AVK
CompanyName : G DATA Software AG
FileDescription : AVK POP3/IMAP Proxy
InternalName : AVKPOP
LegalCopyright : Copyright 2001-2004
OriginalFilename : AVKPop.exe

#:18 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 564
ThreadCreationTime : 09.01.2005 16:14:51
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:19 [capictrl.exe]
FilePath : X:\Programme\Telekom\Eumex 704PC DSL\
ProcessID : 640
ThreadCreationTime : 09.01.2005 16:14:52
BasePriority : Normal
FileVersion : 2.10
ProductVersion : 2.00
ProductName : CAPIControl Application
CompanyName : DeTeWe AG & Co.
FileDescription : CAPIControl
InternalName : CAPIControl
LegalCopyright : Copyright (C) 1999-2002 DeTeWe AG & Co.
OriginalFilename : CAPIControl.EXE
Comments : RPH/MS/CTK/DETEWE

#:20 [hnetctrl.exe]
FilePath : X:\Programme\Telekom\Eumex 704PC DSL\
ProcessID : 1104
ThreadCreationTime : 09.01.2005 16:14:53
BasePriority : Normal
FileVersion : 1.06
ProductName : Anwendung HomeNetCtrl
CompanyName : DeTeWe AG & Co.
FileDescription : HomeNetCtrl
InternalName : HomeNetCtrl
LegalCopyright : Copyright (C) 2000-2001
OriginalFilename : HomeNetCtrl.EXE

#:21 [iexplore.exe]
FilePath : C:\Programme\Internet Explorer\
ProcessID : 1988
ThreadCreationTime : 09.01.2005 16:48:23
BasePriority : Normal
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Internet Explorer
InternalName : iexplore
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : IEXPLORE.EXE

#:22 [aboutbuster.exe]
FilePath : C:\DOKUME~1\swen\LOKALE~1\Temp\Rar$EX00.125\AboutBuster\
ProcessID : 488
ThreadCreationTime : 09.01.2005 16:52:12
BasePriority : Normal
FileVersion : 3.00
ProductVersion : 3.00
ProductName : About:Buster
FileDescription : Removes the HomeSearch virus.
InternalName : AboutBuster
OriginalFilename : AboutBuster.exe

#:23 [winword.exe]
FilePath : X:\Programme\Microsoft Office\Office\
ProcessID : 976
ThreadCreationTime : 09.01.2005 16:59:24
BasePriority : Normal


#:24 [agentsvr.exe]
FilePath : C:\WINDOWS\msagent\
ProcessID : 1324
ThreadCreationTime : 09.01.2005 16:59:37
BasePriority : Normal
FileVersion : 2.00.0.3422
ProductVersion : 2.00.0.3422
ProductName : Microsoft Agent Server
CompanyName : Microsoft Corporation
FileDescription : Microsoft Agent Server
InternalName : AgentServer
LegalCopyright : Copyright (C) Microsoft Corp. 1997-98
OriginalFilename : AgentSvr.exe

#:25 [ad-aware.exe]
FilePath : X:\PROGRA~1\Lavasoft\AD-AWA~2\
ProcessID : 1892
ThreadCreationTime : 09.01.2005 17:01:55
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking Cookie Object Recognized!
Type : IECache Entry
Data : swen@versiontracker[1].txt
Category : Data Miner
Comment : Hits:3
Value : Cookie:swen@versiontracker.com/
Expires : 09.01.2007 10:00:30
LastSync : Hits:3
UseCount : 0
Hits : 3

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : swen@adtech[2].txt
Category : Data Miner
Comment : Hits:6
Value : Cookie:swen@adtech.de/
Expires : 07.01.2015 18:00:26
LastSync : Hits:6
UseCount : 0
Hits : 6

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : swen@servedby.netshelter[1].txt
Category : Data Miner
Comment : Hits:9
Value : Cookie:swen@servedby.netshelter.net/
Expires : 29.06.2021 14:48:54
LastSync : Hits:9
UseCount : 0
Hits : 9

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : swen@tribalfusion[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:swen@tribalfusion.com/
Expires : 01.01.2038 01:00:00
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : swen@mediaplex[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:swen@mediaplex.com/
Expires : 22.06.2009 01:00:00
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 5
Objects found so far: 5



Deep scanning and examining files (C
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 5


Deep scanning and examining files (X
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for X:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 5


Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 5

18:07:08 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:05:02.438
Objects scanned:76837
Objects identified:5
Objects ignored:0
New critical objects:5




_______________

Ich habe zwar keinerlei Ahnung was Du daraus erkennen kannst aber ich DANKE DIR !!!

MfG
Swen

(Wenn etwas nicht stimmt, sag es mir bitte)

#11 Hallo@Swen

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot

C:\windows\system32\Guard.tmp

und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "yes"
PC neustarten

(was wird angezeigt ? Berichte)
------------------------------------------------------------------------------------------
#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

FindIt.zip--> noch einmal posten, bitte
klicke auf: "find.bat" [ignoriere : File not found messages]
<DOS oeffnet sich -->warte den Scan ab --> es oeffnet sich der Texteditor --> und poste den Text von output.txt.


#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

und poste das Log + neue Startseite mit dem IE noch mal
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Hi,

also, ich habe KillBox ausgeführt und die Datei eingegeben, dann stand da geschrieben: File will be reboot, Do you want to reboot? Darunter JA/Nein.

Ich habe "Ja" gewählt und dann kam ganz kurz etwas mit "verifing...oder so" dann hat er PC neugestartet und das war´s..........

Ich habe die Datei Findit.bat angeklickt und es öffnete sich ein DOS Fenster dann zeigte sich ein OUTPUT-EDITOR mit folgendem Inhalt:

Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

------- System Files in System32 Directory -------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D461-57A2

Verzeichnis von C:\WINDOWS\System32

06.01.2005 20:55 <DIR> dllcache
31.12.2004 19:55 <DIR> Microsoft
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 2.230.857.728 Bytes frei

------- Hidden Files in System32 Directory -------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D461-57A2

Verzeichnis von C:\WINDOWS\System32

06.01.2005 20:55 <DIR> dllcache
31.12.2004 19:49 488 logonui.exe.manifest
31.12.2004 19:49 488 WindowsLogon.manifest
31.12.2004 19:49 749 nwc.cpl.manifest
31.12.2004 19:49 749 sapi.cpl.manifest
31.12.2004 19:49 749 wuaucpl.cpl.manifest
31.12.2004 19:49 749 cdplayer.exe.manifest
31.12.2004 19:49 749 ncpa.cpl.manifest
7 Datei(en) 4.721 Bytes
1 Verzeichnis(se), 2.230.857.728 Bytes frei

---------- Files Named "Guard" -------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D461-57A2

Verzeichnis von C:\WINDOWS\System32


--------- Temp Files in System32 Directory --------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D461-57A2

Verzeichnis von C:\WINDOWS\System32

10.08.2004 21:52 20.480 setb4.tmp
10.08.2004 21:52 20.480 setb5.tmp
29.08.2002 13:00 2.951 CONFIG.TMP
3 Datei(en) 43.911 Bytes
0 Verzeichnis(se), 2.230.857.728 Bytes frei

---------------- User Agent ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]


------------ Keys Under Notify ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


---------------- Xfind Results -----------------

Der Befehl "Xfind" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

-------------- Locate.com Results ---------------



So ganz kapiere ich nicht, wie ich "Zitat: das Log + neue Startseite mit dem IE noch mal" verstehen soll.
Ich habe die temporär Dateien gelöscht und unter "Programme" die Webinhalte zurückgesetzt. Dann habe ich die Startseite in www.ebay.de geändert, eine andere ich mir nicht eingefallen.
Und als Log habe ich einfach nochmal den Hijack laufen lassen und gepostet.

Wenn das nicht richtig war, bitte detailierte Diletanten-Beschreibung ;o)

Logfile of HijackThis v1.99.0
Scan saved at 19:18:41, on 09.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
X:\Programme\AntiVirenKit 2004\AVKService.exe
X:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\System32\ctfmon.exe
X:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
X:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
X:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
X:\Temp\HijackThis.exe
X:\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = X:\Programme\Microsoft Office\Office\OSA9.EXE
O23 - Service: AVK Service - Unknown - X:\Programme\AntiVirenKit 2004\AVKService.exe
O23 - Service: AVK Wächter - Unknown - X:\Programme\AntiVirenKit 2004\AVKWCtl.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

_____

Mfg
Swen

#13 Hallo@Swen



Dein Log ist sauber
----------------------------------------
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo@calus-x

Lade: KillBox (entpacke auf dem Desktop)
http://www.bleepingcomputer.com/files/killbox.php

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->>

O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - Startup: winupdate76125254[1].exe

Button "Fix checked"

kopiere in die Killbox:
C:\WINDOWS\winupdate76125254[1].exe
C:\WINDOWS\system32\winupdate76125254[1].exe
C:\WINDOWS\svchost.exe

<Delete File on Reboot
<und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes

PC neustarten

#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867
erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

Gehe wieder in den Normalmodus

#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp

#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php

Poste, ob die Onlinescanns was finden ....
---------------------------------------------------------------------------------------------------
mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein
jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
+ das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hi Sabina,

Du bist ein Engel .................!


DANKE
MfG
Swen