win32usb.exe -->W32/Forbot-BQ

#1 Hi, ich hab das Problem, das eine Startseite und spezielle Viren immer wieder kommen, obwohl ich schon alle Programme, Ad-Aware 6.1, Norton Antivirus 2005, Antivir Free, CWShredder und auch Spybots Removaltool ausprobiert habe und da auch etliche Viren entfernt habe. Norton Personal Firewall läuft immer. Hab sogar einige Programme auch schon im abgesicherten Modus durchlaufen lassen.

Hijacklog ist folgende (nachdem ich schon etliche Programme ausprobiert habe):

Logfile of HijackThis v1.97.7
Scan saved at 19:52:08, on 07.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Personal Firewall\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Teledat DSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\dllmanger.exe
C:\programme\180solutions\sais.exe
C:\Program Files\Windows TaskAd\WinSched.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Windows TaskAd\WinTaskAd.exe
C:\Programme\BullsEye Network\bin\bargains.exe
D:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {65B17C2E-DB26-437F-B702-D82688E9C30F} - C:\WINDOWS\System32\jjghb.dll
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\Defender.exe"
O4 - HKLM\..\Run: [AWatch] "C:\Programme\Teledat DSL\Awatch.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [USB Device] win32usb.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\ynsfxsnq.exe
O4 - HKLM\..\Run: [notepad.exe] C:\WINDOWS\dllmanger.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [favax] C:\WINDOWS\favax.exe
O4 - HKLM\..\Run: [Win32 SSL Driver] winssv.exe
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunServices: [USB Device] win32usb.exe
O4 - HKLM\..\RunServices: [Win32 SSL Driver] winssv.exe
O4 - HKCU\..\Run: [USB Device] win32usb.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.bild.t-online.de


Also wie gesagt der PC war sehr langsam, ist jetzt aber schon wieder eigentlich recht schnell, jedoch die Startseite kommt halt immer wieder.

Ein kleines Problem hab ich auch noch. die Autoexec.nt muss ich immer wieder in das System32 Verzeichnis kopieren um T-Online überhaupt erst ausführen zu können.

Ich hoffe, dass ihr mir helfen könnt und ich endliche diese schwulen Viren losbin.


Greetz
Raphael
__________
Wie wäre es mit Sport, wenigstens Aktulles anschauen. Jugend 70 Merfeld e.V. hier

#2 hi
könnte sein, das du ein wenig eine veralterte version von hjt erwischt hast?
aktuell 1.82.2 bzw. 1.99_beta ( bleib bei der 1.98.2)
und räume deine temp und tif ordner vorher auf
__________
lg
Speedyweb http://members.linzag.net/680262/ --> HijackThis1.99final,AntiVirPE,Mozilla,Security-Links

#3 Hallo@biG|d3sti

Ich helfe dir, den PC sauber zu bekommen, aber du musst folgendes laden:

HjackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Hi, es ist ja nicht so, dass ich gar nichts drauf habe - ich krieg normal jeden PC clean, aber bei dem Pc von dem Freund hab ich es nicht hinbekommen. Wie gesagt alles probiert. Sabina danke für deine Hilfe, ich sag mal meinem Freund bescheid, dass der sich auch mal die neue Hijackthis Version laden soll und dann halt die Sachen hier reinkopiert.

Danke schon im vorraus.


Greetz Raphael
__________
Wie wäre es mit Sport, wenigstens Aktulles anschauen. Jugend 70 Merfeld e.V. hier

#5 Das MUSS er tun, denn "seine" Hijackervariante startet ueber einen Dienst, den ich ohne die aktuelle Version vom HijackThis nicht "sehen" kann.
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Hier der stand der dinge..:

Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 19:34:01, on 09.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Personal Firewall\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Teledat DSL\Awatch.exe
C:\WINDOWS\dllmanger.exe
C:\Program Files\Windows TaskAd\WinTaskAd.exe
C:\Program Files\Windows TaskAd\WinSched.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\ICQ\Icq.exe
c:\t-online\browser\browser.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {65B17C2E-DB26-437F-B702-D82688E9C30F} - C:\WINDOWS\System32\jjghb.dll-->Startseitentrojaner
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\Defender.exe"
O4 - HKLM\..\Run: [AWatch] "C:\Programme\Teledat DSL\Awatch.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [USB Device] win32usb.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\ynsfxsnq.exe
O4 - HKLM\..\Run: [notepad.exe] C:\WINDOWS\dllmanger.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [Win32 SSL Driver] winssv.exe -->WORM_WOOTBOT.CA
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunServices: [USB Device] win32usb.exe --> W32/Forbot-BQ
O4 - HKLM\..\RunServices: [Win32 SSL Driver] winssv.exe
O4 - HKCU\..\Run: [USB Device] win32usb.exe
O4 - Startup: Verknüpfung mit cmd.lnk = C:\WINDOWS\system32\cmd.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.bild.t-online.de
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4A0CF55-2072-4923-8E84-1D05CA3743A8}: NameServer = 217.237.151.225 217.237.150.225
O18 - Filter: text/html - {0D2B7ADC-2E4D-409A-B6DC-CF891E745DB8} - C:\WINDOWS\System32\jjghb.dll
O18 - Filter: text/plain - {0D2B7ADC-2E4D-409A-B6DC-CF891E745DB8} - C:\WINDOWS\System32\jjghb.dll
O23 - Service: USB Device - Unknown - C:\WINDOWS\System32\win32usb.exe (file missing) -->W32/Forbot-BQ
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Dialerschutz Dienst - Unknown - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: Symantec Licensing Detect Internet Connection - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: ISSvc - Symantec Corporation - C:\Programme\Norton Personal Firewall\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-D
__________
Wie wäre es mit Sport, wenigstens Aktulles anschauen. Jugend 70 Merfeld e.V. hier

#7 Hallo@biG|d3sti

W32/Forbot-BQ
W32/Forbot-BQ ist ein Netzwerkwurm mit Backdoortrojaner-Funktionalität.
W32/Forbot-BQ verbreitet sich über Netzwerkfreigaben und indem er die LSASS-Software-Schwachstelle (MS04-011) ausnutzt. Der Wurm kann sich auch über Backdoors verbreiten, die von anderer Malware hinterlassen wurden.
W32/Forbot-BQ erstellt einen Dienst namens "blargh" mit dem Anzeigenamen"USB Device".
http://www.sophos.de/virusinfo/analyses/w32forbotbq.html

WORM_WOOTBOT.CA
O4 - HKLM\..\RunServices: [Win32 SSL Driver] winssv.exe
http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=WORM_WOOTBOT.CA

Der Rest in der Startseitentrojaner ............und andere Malware

Ich empfehle DRINGEND diesen veseuchten PC aus dem Netz zu nehmen und neu zu formatieren !!!!!!!!!!!!!
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Den ganzen pc platt machen ist auch sehr doof, da das dann wieder einen ganzen tag Arbeit vorprogammieren würde, den überhaupt erst einigermaßen richtig fertig zu machen, und darauf kann ich echt verzichten, denn time is money... wenn der trojaner draufkommt (ich frag mich wie das geht bei norton antivirus 2005/ norton personal firewall 2005) müsste man ihn auch wieder runterbekommen. (ich rede von W32/Forbot-BQ)


greetz Raphael, aber schon mal danke für die Hilfe!
__________
Wie wäre es mit Sport, wenigstens Aktulles anschauen. Jugend 70 Merfeld e.V. hier

#9 Natuerlich koennte ich dir Anweisungen geben, um das alles wieder sauber zu bekommen...aber das System ist und bleibt kompromitiert und zudem wuerdest du mit der Reinigung mehr Zeit zubringen, als mit dem Neuformatieren.
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Ich glaube nicht, weil wir da erstmal alle Programme neu draufmachen müssten - und ich denke das wird laenger dauern als den Bot zu removen, kannst ja mal wenn du lieb und evtl. Zeit hast dazu was schreiben - wie man den removed!


Greetz Raphael
danke
__________
Wie wäre es mit Sport, wenigstens Aktulles anschauen. Jugend 70 Merfeld e.V. hier

#11 Hallo@biG|d3sti

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Gehe in die Registry
Start<Ausfuehren<regedit

loesche rechts in der Registry:

<HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Start Page = "about:blank"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Internet Explorer\Main
HOMEOldSP = "about:blank"

HKEY_CURRENT_USER>Software>Microsoft>
Internet Explorer>Main
HOMEOldSP = "about:blank"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Internet Explorer\Main
Use Search Asst = "no" ---> aendere in yes

HKEY_LOCAL_MACHINE\Software\Microsoft\
Internet Explorer\Main
Use Custom Search URL = "dword:00000001" --> aendere in "dword:00000000"

<HKEY_CLASSES_ROOT>CLSID>
{65B17C2E-DB26-437F-B702-D82688E9C30F}
{0D2B7ADC-2E4D-409A-B6DC-CF891E745DB8}

<HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>Explorer>Browser Helper Objects>
{65B17C2E-DB26-437F-B702-D82688E9C30F}

HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html
CLSID = "{0D2B7ADC-2E4D-409A-B6DC-CF891E745DB8}"

HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain
CLSID = "{0D2B7ADC-2E4D-409A-B6DC-CF891E745DB8}"

HKEY_CLASSES_ROOT\CLSID\
{0D2B7ADC-2E4D-409A-B6DC-CF891E745DB8}\InProcServer32

(Bearbeiten-->suche-->loesche) in der Registry:
<blargh
<USB Device

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
suchen und deaktivieren (im HijackThis ist es nicht erkennbar (?)

"blargh" mit dem Anzeigenamen"USB Device"

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL (file missing)
O2 - BHO: (no name) - {65B17C2E-DB26-437F-B702-D82688E9C30F} - C:\WINDOWS\System32\jjghb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O4 - HKLM\..\Run: [USB Device] win32usb.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\ynsfxsnq.exe
O4 - HKLM\..\Run: [notepad.exe] C:\WINDOWS\dllmanger.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [Win32 SSL Driver] winssv.exe -->WORM_WOOTBOT.CA
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\RunServices: [USB Device] win32usb.exe
O4 - HKLM\..\RunServices: [Win32 SSL Driver] winssv.exe
O4 - HKCU\..\Run: [USB Device] win32usb.exe
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O18 - Filter: text/html - {0D2B7ADC-2E4D-409A-B6DC-CF891E745DB8} - C:\WINDOWS\System32\jjghb.dll
O18 - Filter: text/plain - {0D2B7ADC-2E4D-409A-B6DC-CF891E745DB8} - C:\WINDOWS\System32\jjghb.dll

PC neustarten

Loesche:
<C:\Program Files\Windows TaskAd
<C:\Programme\BullsEye Network
<C:\Programme\BullsEye Network\bin\bargains.exe
<C:\programme\180solutions
<SP.HTML

1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.

C:\WINDOWS\System32\jjghb.dll
C:\WINDOWS\System32\msbe.dll
C:\WINDOWS\dllmanger.exe
C:\WINDOWS\System32\winssv.exe
C:\WINDOWS\System32\ynsfxsnq.exe
C:\WINDOWS\System32\win32usb.exe

Erst beim letzten klickst du "Yes" und startest den PC neu.

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

lade und scanne:
Removal:
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!

#AboutBuster-->updaten !
www.malwarebytes.biz/AboutBuster.zip
http://www.spychecker.com/program/aboutbuster.html
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus) ausführen.

arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

Onlinescann:
http://housecall.trendmicro.com/housecall/start_corp.asp

1) lade rem.zip herunter
Rem.zip http://users.pandora.be/bluepatchy/www/rem.zip
http://forums.skads.org/index.php?showtopic=80
(dort im 1. Posting von Baskar unter Attached File(s)!).
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)
3) starte den rechner im abgesicherten modus.
http://www.tu-berlin.de/www/software/virus/savemode.shtml
4) starte die datei rem.bat, scannen lassen.
5) starte den rechner anschließend im normalen modus.
6) unter C:\ sollte nun eine datei namens log.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

Das poste das neue Log
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Okay das sieht super aus... die Antwort wird jetzt ein bisschen dauern, weil ich das erst machen bin, wenn ich bei dem jenigem bin, der den Virus drauf hat, er hat nicht so viel ahnung von sowas.. ich auch nicht wirklich, aber mit deinen anweisungen komm ich gut klar

nochmal danke,.. ich schreib zurück sobald wirs gemacht haben...

Greetz Raphael *kiss
__________
Wie wäre es mit Sport, wenigstens Aktulles anschauen. Jugend 70 Merfeld e.V. hier

#13 So,.. jetzt wirds bald soweit sein, dass ich da mal an den PC wieder dran muss.. ich denke mal da ist noch ne menge an viren dabei gekommen.. ich werd nochmal die hijackthis hier rein posten.. falls du lust hast und was neues entdeckst, was vorher noch nicht da war.. kannst dich ja nochmal melden Sabina..

Danke


Greetz Raphael
__________
Wie wäre es mit Sport, wenigstens Aktulles anschauen. Jugend 70 Merfeld e.V. hier