topantispyware.com läßt sich nicht entfernen

#0
03.04.2005, 09:50
...neu hier

Beiträge: 3
#46

Zitat

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten



soll ich alle häkchen setzen ???



Zitat

O2 - BHO: (no name) - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: STLinksCtrl Class - {B54BFA47-D897-49CA-9657-05EC9F80A32B} - C:\Programme\STLinks\STLinks2.dll
O2 - BHO: STIEbarBHO Class - {D797AD6C-6447-4DB4-91D0-090344408E72} - C:\Programme\0CAT YellowPages\STIEbar2.dll (file missing)
O3 - Toolbar: 0CAT Yellow Pages - {679695BC-A811-4A9D-8CDF-BA8C795F261A} - C:\Programme\0CAT YellowPages\STIEbar2.dll (file missing)
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O9 - Extra button: My button - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\Programme\0CAT YellowPages\STIEbar2.dll (file missing)
O9 - Extra 'Tools' menuitem: My menu - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\Programme\0CAT YellowPages\STIEbar2.dll (file missing)
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.160.98/affiliates/acc0000/client/acc0000.chm::/acc0000.exe



was muß ich damit machen ???
Dieser Beitrag wurde am 03.04.2005 um 09:51 Uhr von them editiert.
Seitenanfang Seitenende
03.04.2005, 13:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#47 Hallo@them

Zitat

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


vor genau diese Eintraege, die ich geschrieben hab (ist das so schwer zu verstehen ?) ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.04.2005, 14:17
...neu hier

Beiträge: 3
#48 Hi Sabina,

sorry bin nicht gerade der pc-spezialist in solchen sachen.habs aber soweit hinbekommen und mache jetzt noch die restlichen angaben. :-)
Seitenanfang Seitenende
03.04.2005, 20:01
...neu hier

Beiträge: 10
#49 hi zusammen,

ich habe das gleiche Problem, bin aber von dem was ich hier lese komplett überfordert, habe das hijack-dingens zwar schon runtergeladen, weiss aber nicht was ich wo und wie anklicken muß soll, wäre es u.U. möglich eine step-by-step-Anleitung zu erhalten um dieses topantispyware herunterzubekommen - um was handelt es ich hierbei eigentlich? - ist das eine besondere Art der agressiven Werbung und in wieweit kann man der uninstall-Anleitung trauen, hierüber scheint es ja auch unterschiedliche Meinungen zu geben, besten Dank im voraus

PS.: habe Spybot-Search&destroy und AntiVirXP laufen lassen hat aber nichts geholfen
Gruß Daniel
Seitenanfang Seitenende
03.04.2005, 23:54
...neu hier

Beiträge: 5
#50 hallo sabina
bin auch so ein kunde mit topantispyware...
habe erstmal versucht das gleiche zu machen was du den anderen empfohlen hast..
erstmal war es schwierig hijackthis zu bekommen, damein browser immer auf ne suchseite umschaltet sobald man es downloaden will , habs dann aber igendwie mit n bischen googeln geschafft . ähnlich verhält es sich mit killbox
hast du eine idee bzw, nen link der nicht umgeleitet wird?

dann:nach löschen mit hijackthis (ich hab mal die files genommen die du den anderen empfohlen hast) waren diese allerdings nach dem neustart wieder da

im folgenden mein hijackthislog:

Zitat


Logfile of HijackThis v1.99.1
Scan saved at 23:31:36, on 03.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\gearsec.exe
C:\FoxServ\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\System32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\windows\system32\taskmg.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\WINDOWS\System32\Services\{F0883CB5-3AD0-4CD3-B048-552A88774BEF}\SVCHOST.EXE
C:\Program Files\Media Access\MediaAccK.exe
C:\WINDOWS\hayxmxx.exe
C:\Programme\ISTsvc\istsvc.exe
C:\windows\system32\UnsF.exe
C:\WINDOWS\System32\catsrv32.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\WINDOWS\Xhrmy.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\Dmtd.exe
C:\WINDOWS\System32\HryYJop.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\bbj\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32\SearchBar.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://daosearch.com/index.php?id=585&said=nicket_a
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.181.23:3128;http=192.168.181.23:3128;https=192.168.181.23:3128;socks=192.168.181.23:1080
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {0A7ACE90-5E72-77D6-27D2-5210D710CEC9} - C:\WINDOWS\System32\pki.dll
O2 - BHO: Band Class - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - C:\Programme\SEP\sep.dll
O2 - BHO: Band Class - {CC378B83-9577-44D0-B4F8-0DD965E176FC} - C:\Programme\eSyndicate\esyn.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O3 - Toolbar: Band Class - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - C:\Programme\SEP\sep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [zzzHPSETUP] E:\Setup.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{F0883CB5-3AD0-4CD3-B048-552A88774BEF}\SVCHOST.EXE
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitemld32.exe
O4 - HKLM\..\Run: [6aqKit] C:\WINDOWS\hayxmxx.exe
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [IIjiD] C:\dokumente und einstellungen\maddin\lokale einstellungen\temp\IIjiD.exe
O4 - HKLM\..\Run: [UnsF] C:\windows\system32\UnsF.exe
O4 - HKLM\..\Run: [8275b92da620] C:\WINDOWS\System32\catsrv32.exe
O4 - HKLM\..\Run: [xhrmy] C:\WINDOWS\Xhrmy.exe
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [2ZQLKP#2WLSCTL] C:\WINDOWS\System32\Cjo9g.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Microsoft AntiSpyware helper - {EDA76D37-44B5-4D13-BC15-788607B10E43} - C:\WINDOWS\System32\wldr.dll
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {EDA76D37-44B5-4D13-BC15-788607B10E43} - C:\WINDOWS\System32\wldr.dll
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c18.cab
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt01.com/dialer/internazionale_ver10.CAB
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildApp.cab
O21 - SSODL: NTDBGTOOL - {15BEA0BB-5600-4878-B8FC-CF12D0FD5521} - C:\WINDOWS\System32\shimcr32.dll
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:/FoxServ/mysql/bin/mysqld-nt.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)


thx in advance
maddin

edit:
huhu
hab hier http://hjt.iamnotageek.com/
einen automatischen hijackthis loganalyzer gefunden...
gruss
maddin
Dieser Beitrag wurde am 04.04.2005 um 11:58 Uhr von mad-din editiert.
Seitenanfang Seitenende
04.04.2005, 11:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#51 Hallo@mad-din

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktiviere

Gehe in die Registry
Start<Ausfuehren<regedit

mit rechtsklick loeschen:

HKCU\Software\LQ
HKLM\Software\ohbbackup
HKLM\Software\Elitum

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32\SearchBar.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://daosearch.com/index.php?id=585&said=nicket_a

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {0A7ACE90-5E72-77D6-27D2-5210D710CEC9} - C:\WINDOWS\System32\pki.dll
O2 - BHO: Band Class - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - C:\Programme\SEP\sep.dll
O2 - BHO: Band Class - {CC378B83-9577-44D0-B4F8-0DD965E176FC} - C:\Programme\eSyndicate\esyn.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O3 - Toolbar: Band Class - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - C:\Programme\SEP\sep.dll

O4 - HKLM\..\Run: [zzzHPSETUP] E:\Setup.exe
O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{F0883CB5-3AD0-4CD3-B048-552A88774BEF}\SVCHOST.EXE
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitemld32.exe
O4 - HKLM\..\Run: [6aqKit] C:\WINDOWS\hayxmxx.exe
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [IIjiD] C:\dokumente und einstellungen\maddin\lokale einstellungen\temp\IIjiD.exe
O4 - HKLM\..\Run: [UnsF] C:\windows\system32\UnsF.exe
O4 - HKLM\..\Run: [8275b92da620] C:\WINDOWS\System32\catsrv32.exe
O4 - HKLM\..\Run: [xhrmy] C:\WINDOWS\Xhrmy.exe
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [2ZQLKP#2WLSCTL] C:\WINDOWS\System32\Cjo9g.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe
O9 - Extra button: Microsoft AntiSpyware helper - {EDA76D37-44B5-4D13-BC15-788607B10E43} - C:\WINDOWS\System32\wldr.dll
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {EDA76D37-44B5-4D13-BC15-788607B10E43} - C:\WINDOWS\System32\wldr.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c18.cab
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt01.com/dialer/internazionale_ver10.CAB
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildApp.cab
O21 - SSODL: NTDBGTOOL - {15BEA0BB-5600-4878-B8FC-CF12D0FD5521} - C:\WINDOWS\System32\shimcr32.dll
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

PC neustarten

C:\WINDOWS\System32\shimcr32.dll
C:\WINDOWS\System32\pki.dll
C:\Programme\SEP\sep.dll
C:\Programme\eSyndicate\esyn.dll
c:\windows\system32\taskmg.exe
C:\WINDOWS\System32\Services\{F0883CB5-3AD0-4CD3-B048-552A88774BEF}\SVCHOST.EXE
C:\WINDOWS\System32\shimcr32.dll
C:\WINDOWS\Downloaded Program Files\internazionale_ver10.ocx

C:\dokumente und einstellungen\maddin\lokale einstellungen\temp\IIjiD.exe

C:\windows\system32\elitemld32.exe
C:\WINDOWS\EliteSideBar
C:\WINDOWS\System32\run.exe
C:\WINDOWS\protector_update.exe

C:\WINDOWS\System32\Cjo9g.exe
C:\WINDOWS\System32\catsrv32.exe
C:\WINDOWS\System32\Dmtd.exe
C:\WINDOWS\System32\HryYJop.exe
C:\windows\system32\UnsF.exe
C:\WINDOWS\Xhrmy.exe
C:\WINDOWS\hayxmxx.exe
C:\WINDOWS\System32\ap9h4qmo.exe
C:\WINDOWS\System32\Cjo9g.exe

C:\WINDOWS\System32\runsrv32.exe
C:\WINDOWS\System32\runsrv32.dll
C:\WINDOWS\System32\txfdb32.dll
C:\WINDOWS\System32\srpcsrv32.dll
C:\WINDOWS\System32\runsvc32.exe
C:\WINDOWS\System\runsrv32.dll
C:\WINDOWS\System32\runoledb32.exe
C:\Program Files\TopAntiSpyware
C:\WINDOWS\desktop.html
C:\WINDOWS\Web\desktop.html
C:\r.exe
C:\WINDOWS\System32\spoolsrv32.exe

C:\Programme\TV Media\TvmBho.dll
C:\Programme\TV Media\Tvm.exe
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\Downloaded Program Files\ISTactivex.dll
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe

PC neustarten

suche und loesche:Speedy.bat

C:\dokumente und einstellungen\maddin\lokale einstellungen\temp\IIjiD.exe

FxIstbar.exe
http://bilder.informationsarchiv.net/Nikitas_Tools/FxIstbar.exe

•Download NOD32 Antivirus System

http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2005, 12:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#52 Hallo@maphidal

Kopiere bitte das Log vom HijackThis hier ins Forum
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2005, 16:28
...neu hier

Beiträge: 5
#53 huhu sabina

auch nach der ganzen reinigungsprozedur waren diese spoolerdinger wieder da siehe neues HJT log:

Logfile of HijackThis v1.99.1
Scan saved at 16:00:08, on 04.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPSMain.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Eset\nod32kui.exe
C:\windows\system32\taskmg.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\gearsec.exe
C:\FoxServ\mysql\bin\mysqld-nt.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\WINDOWS\System32\TPSBattM.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\bbj\Desktop\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.181.23:3128;http=192.168.181.23:3128;https=192.168.181.23:3128;socks=192.168.181.23:1080
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitemld32.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:/FoxServ/mysql/bin/mysqld-nt.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)


-------------------------------------------------------------------------

ansonsten viel suspektes zeug gefunden:
Mon Apr 04 15:44:54 2005 => File C:\windows\system32\elitemld32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
Mon Apr 04 15:45:14 2005 => System found infected with XXXToolbar Spyware/Adware ({7C559105-9ECF-42B8-B3F7-832E75EDD959})! Action taken: No Action Taken.
Mon Apr 04 15:45:14 2005 => File System Found infected by "XXXToolbar Spyware/Adware" Virus. Action Taken: No Action Taken.
Mon Apr 04 15:45:14 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Mon Apr 04 15:45:14 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:45:14 2005 => System found infected with eSyndicate Spyware/Adware ({941e3071-658d-4f7a-8848-a39e9a43aa97})! Action taken: No Action Taken.
Mon Apr 04 15:45:14 2005 => File System Found infected by "eSyndicate Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:45:14 2005 => Offending Folder C:\PROGRA~1\sidefind present...
Mon Apr 04 15:45:14 2005 => System found infected with sidefind Spyware/Adware! Action taken: No Action Taken.
Mon Apr 04 15:45:14 2005 => File System Found infected by "sidefind Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:45:14 2005 => Offending Folder C:\PROGRA~1\istsvc present...
Mon Apr 04 15:45:14 2005 => System found infected with istsvc Spyware/Adware! Action taken: No Action Taken.
Mon Apr 04 15:45:14 2005 => File System Found infected by "istsvc Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:45:14 2005 => Offending Folder C:\PROGRA~1\POWERS~1 present...
Mon Apr 04 15:45:14 2005 => System found infected with power scan Spyware/Adware! Action taken: No Action Taken.
Mon Apr 04 15:45:14 2005 => File System Found infected by "power scan Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:45:14 2005 => Offending value found in HKLM\Software\istbar !!!
Mon Apr 04 15:45:14 2005 => Offending Folder C:\PROGRA~1\istbar present...
Mon Apr 04 15:45:14 2005 => System found infected with istbar Spyware/Adware! Action taken: No Action Taken.
Mon Apr 04 15:45:14 2005 => File System Found infected by "istbar Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:45:14 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\policies\ameopt !!!
Mon Apr 04 15:45:14 2005 => System found infected with ameopt Spyware/Adware! Action taken: No Action Taken.
Mon Apr 04 15:45:14 2005 => File System Found infected by "ameopt Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:45:14 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\kapabout !!!
Mon Apr 04 15:45:14 2005 => System found infected with kapabout Spyware/Adware! Action taken: No Action Taken.
Mon Apr 04 15:45:14 2005 => File System Found infected by "kapabout Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:45:14 2005 => Offending Folder C:\PROGRA~1\180SOL~1 present...
Mon Apr 04 15:45:14 2005 => System found infected with 180Solutions Spyware/Adware! Action taken: No Action Taken.
Mon Apr 04 15:45:14 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:45:14 2005 => Offending value found in HKLM\Software\myway !!!
Mon Apr 04 15:45:14 2005 => Offending Folder C:\PROGRA~1\myway present...
Mon Apr 04 15:45:14 2005 => System found infected with myway Spyware/Adware! Action taken: No Action Taken.
Mon Apr 04 15:45:14 2005 => File System Found infected by "myway Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:45:14 2005 => Offending value found in HKLM\Software\xhrmy !!!
Mon Apr 04 15:45:14 2005 => System found infected with xhrmy Spyware/Adware! Action taken: No Action Taken.
Mon Apr 04 15:45:14 2005 => File System Found infected by "xhrmy Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:45:14 2005 => Offending Folder C:\WINDOWS\ELITET~1 present...
Mon Apr 04 15:45:14 2005 => System found infected with elitetoolbar Spyware/Adware! Action taken: No Action Taken.
Mon Apr 04 15:45:14 2005 => File System Found infected by "elitetoolbar Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:45:14 2005 => Offending value found in HKCU\Software\lq !!!
Mon Apr 04 15:45:14 2005 => System found infected with lq Spyware/Adware! Action taken: No Action Taken.
Mon Apr 04 15:45:14 2005 => File System Found infected by "lq Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:45:14 2005 => Offending value found in HKCU\Software\VB and VBA Program Settings !!!
Mon Apr 04 15:45:14 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.
Mon Apr 04 15:45:14 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:45:16 2005 => System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken.
Mon Apr 04 15:45:16 2005 => File System Found infected by "WindUpdate Spyware/Adware" Virus. Action Taken: No Action Taken.


Mon Apr 04 15:45:16 2005 => ***** Scanning System32 Folders *****
Mon Apr 04 15:45:16 2005 => Scanning C:\WINDOWS Directory
Mon Apr 04 15:45:16 2005 => Scanning Folder: C:\WINDOWS\*.*
Mon Apr 04 15:45:16 2005 => Scanning File C:\WINDOWS\0.log [**]
Mon Apr 04 15:45:16 2005 => Scanning File C:\WINDOWS\a95kfrhe.exe
Mon Apr 04 15:45:16 2005 => File C:\WINDOWS\a95kfrhe.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken.
Mon Apr 04 15:45:16 2005 => File C:\WINDOWS\bfwxedf.exe infected by "Trojan.Win32.StartPage.ww" Virus. Action Taken: No Action Taken.
Mon Apr 04 15:45:17 2005 => File C:\WINDOWS\cqsmvpg.exe infected by "Trojan.Win32.StartPage.ww" Virus. Action Taken: No Action Taken.
Mon Apr 04 15:45:17 2005 => File C:\WINDOWS\fpqpehp.exe infected by "Trojan.Win32.StartPage.ww" Virus. Action Taken: No Action Taken.
Mon Apr 04 15:45:20 2005 => File C:\WINDOWS\minigolf_affiliate.exe infected by "not-a-virus:AdWare.MetaDirect.b" Virus. Action Taken: No Action Taken.
Mon Apr 04 15:45:22 2005 => File C:\WINDOWS\rrvphlg.exe infected by "Trojan.Win32.StartPage.ww" Virus. Action Taken: No Action Taken.
Mon Apr 04 15:45:26 2005 => File C:\WINDOWS\xmswjip.exe infected by "Trojan.Win32.StartPage.ww" Virus. Action Taken: No Action Taken.
Mon Apr 04 15:45:31 2005 => File C:\WINDOWS\System32\bootvid8.exe infected by "not-a-virus:AdWare.AdSrve.c" Virus. Action Taken: No Action Taken.
Mon Apr 04 15:46:00 2005 => File C:\WINDOWS\System32\HyperLinker2.exe infected by "not-a-virus:AdWare.MDH.a" Virus. Action Taken: No Action Taken.
Mon Apr 04 15:46:19 2005 => File C:\WINDOWS\System32\maxspeed.exe infected by "Trojan.Win32.VB.od" Virus. Action Taken: No Action Taken.
Mon Apr 04 15:46:38 2005 => File C:\WINDOWS\System32\mxxaoaaa.exe infected by "Trojan.Win32.StartPage.ww" Virus. Action Taken: No Action Taken.
Mon Apr 04 15:46:45 2005 => File C:\WINDOWS\System32\ocpa.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken.
Mon Apr 04 15:46:52 2005 => File C:\WINDOWS\System32\q17i9a4j.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:47:22 2005 => File C:\WINDOWS\System32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.kf" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:47:37 2005 => ***** Scanning complete. *****

Mon Apr 04 15:47:37 2005 => Total Objects Scanned: 3327
Mon Apr 04 15:47:37 2005 => Total Virus(es) Found: 31
Mon Apr 04 15:47:37 2005 => Total Disinfected Files: 0
Mon Apr 04 15:47:37 2005 => Total Files Renamed: 0
Mon Apr 04 15:47:37 2005 => Total Deleted Objects: 0
Mon Apr 04 15:47:37 2005 => Total Errors: 7
Mon Apr 04 15:47:37 2005 => Time Elapsed: 00:03:28
Mon Apr 04 15:47:37 2005 => Virus Database Date: 2005/04/04
Mon Apr 04 15:47:37 2005 => Virus Database Count: 124577

Mon Apr 04 15:47:37 2005 => Scan Completed.

gibts noch hoffnung?
Seitenanfang Seitenende
04.04.2005, 16:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#54 Hallo@

http://www.trendmicro.com/vinfo/grayware/graywareDetails.asp?SNAME=ADW_HYPLINKER.A
Start<Ausfuehren<regedit

HKEY_LOCAL_MACHINE>Software
# Again in the left panel, right-click the following key(s) and choose Delete:
Xhrmy

HKEY_CLASSES_ROOT
# Again in the left panel, right-click the following key(s) and choose Delete:
LinkMaker.LinkMakerFilter
LinkMaker.LinkMakerFilter.1
LinkMaker.LinkTracker
LinkMaker.LinkTracker.1


HKEY_CLASSES_ROOT>CLSID
# Again in the left panel, right-click the following key(s) and choose Delete:
{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD}
{DFAA31C8-A356-4313-9D95-5EDAB46C5070}

HKEY_CLASSES_ROOT>Interface
# Again in the left panel, right-click the following key(s) and choose Delete:
{43B32A8D-3C3D-4969-B44E-CDCF0D233881}

HKEY_CLASSES_ROOT>TypeLib
# Again in the left panel, right-click the following key(s) and choose Delete:
{423550E9-2F83-4678-9929-C1774088B180}

HKEY_LOCAL_MACHINE>Software
# Again in the left panel, right-click the following key(s) and choose Delete:
LM

HKEY_LOCAL_MACHINE>Software>Classes
# Again in the left panel, right-click the following key(s) and choose Delete:
LinkMaker.LinkMakerFilter
LinkMaker.LinkMakerFilter.1
LinkMaker.LinkTracker
LinkMaker.LinkTracker.1

HKEY_LOCAL_MACHINE>Software>
Classes>CLSID
# Again in the left panel, right-click the following key(s) and choose Delete:
{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD}

HKEY_LOCAL_MACHINE>Software>
Classes>CLSID
# Again in the left panel, right-click the following key(s) and choose Delete:
{DFAA31C8-A356-4313-9D95-5EDAB46C5070}

HKEY_LOCAL_MACHINE>Software>
Classes>Interface
# Again in the left panel, right-click the following key(s) and choose Delete:
{43B32A8D-3C3D-4969-B44E-CDCF0D233881}

HKEY_LOCAL_MACHINE>Software>
Classes>TypeLib
# Again in the left panel, right-click the following key(s) and choose Delete:
{423550E9-2F83-4678-9929-C1774088B180}

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Uninstall
# Again in the left panel, right-click the following key(s) and choose Delete:
HyperLinker

HKEY_CLASSES_ROOT>PROTOCOLS>Filter
# Again in the left panel, right-click the following key(s) and choose Delete:
text/html

HKEY_LOCAL_MACHINE>Software>Classes>
PROTOCOLS>Filter
# Again in the left panel, right-click the following key(s) and choose Delete:
text/html

mit rechtsklick loeschen:
HKCU\Software\LQ
HKLM\Software\ohbbackup
HKLM\Software\Elitum

# Close Registry Editor.

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitemld32.exe
O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

PC neustarten
•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\SYSTEM\Loader.dll
C:\windows\system32\taskmg.exe
C:\WINDOWS\System32\runsrv32.exe
C:\WINDOWS\System32\runsrv32.dll
C:\WINDOWS\System32\txfdb32.dll
C:\WINDOWS\System32\srpcsrv32.dll
C:\WINDOWS\System32\runsvc32.exe
C:\WINDOWS\System\runsrv32.dll
C:\WINDOWS\System32\runoledb32.exe
C:\Program Files\TopAntiSpyware
C:\WINDOWS\desktop.html
C:\WINDOWS\Web\desktop.html
C:\r.exe
C:\WINDOWS\System32\spoolsrv32.exe

C:\WINDOWS\EliteSideBar
C:\windows\system32\elitemld32.exe

C:\WINDOWS\Xhrmy.exe
C:\WINDOWS\a95kfrhe.exe
C:\WINDOWS\system32\ap9h4qmo.exe
C:\WINDOWS\system32\q17i9a4j.exe
C:\WINDOWS\system32\qh4mkbv9.dll
C:\WINDOWS\a95kfrhe.exe
C:\WINDOWS\bfwxedf.exe
C:\WINDOWS\cqsmvpg.exe
C:\WINDOWS\fpqpehp.exe
C:\WINDOWS\minigolf_affiliate.exe
C:\WINDOWS\rrvphlg.exe
C:\WINDOWS\xmswjip.exe
C:\WINDOWS\System32\bootvid8.exe
C:\WINDOWS\System32\HyperLinker2.exe
C:\WINDOWS\System32\maxspeed.exe
C:\WINDOWS\System32\mxxaoaaa.exe
C:\WINDOWS\System32\ocpa.exe
C:\WINDOWS\System32\wldr.dll

PC neustarten

FxIstbar.exe
http://bilder.informationsarchiv.net/Nikitas_Tools/FxIstbar.exe

Loeschen temporaere Dateien --> loesche die Dateien in den Ordnern, nicht die ordner selbst

C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat)

•Online-Scann (Panda)--> poste mir, was angezeigt wird
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2005, 19:04
...neu hier

Beiträge: 3
#55 Hi alle zusammen,

ich hab auch das Problem mit "topantispyware" aber ich habe keinen Plan wie ich das wieder von meinem Pc weg bekomm. Ich hab mir zwar mal alles im Forum durch gelesen aber ich versteh nur "BAHNHOF". Könnte mir mal jemand alles erklären wie ich des wieder runter bekomm???
Seitenanfang Seitenende
06.04.2005, 19:04
...neu hier

Beiträge: 5
#56 ich hab jetzt alles so gemacht wie du vorgeschlagen hast
popupadverts gibts aber nach wie vor sobald ich online und nicht im abgesicherten modus bin

ich hab hier noch zwei misteriöse ordner auf C:
!submit
Bases_X

in !submit befinden sich so illustre sachen wie:
catsrv32.exe
spoolsrv32.exe
srpcsrv32.dll
taskmg.exe
und noch ein paar mehr ,die ich
ja inzwischen schon mehrfach an anderer stelle gelöscht hatte


kann ich die einfach loeschen?
-----------------------------------------------------------------
hier das log von panda:

Incident Status Location

Adware:Adware/eZula No disinfected C:\ezStub.exe
Adware:Adware/nCase No disinfected C:\Programme\180solutions
Adware:Adware/MemoryWatcher No disinfected C:\Programme\MemoryWatcher
Spyware:Spyware/ISTbar No disinfected C:\Programme\ISTbar
Adware:Adware/PurityScan No disinfected Windows Registry
Adware:Adware/PowerScan No disinfected C:\Programme\Power Scan
Adware:Adware/SAHAgent No disinfected Windows Registry
Adware:Adware/StatBlaster No disinfected C:\Programme\WildArcade
Adware:Adware/BHO No disinfected Windows Registry
Adware:Adware/CWS.Yexe No disinfected C:\WINDOWS\System32\services
Spyware:Spyware/TVMedia No disinfected C:\Programme\TV Media
Adware:Adware/MediaTickets No disinfected Windows Registry
Adware:Adware/SideSearch No disinfected C:\Programme\sep
Adware:Adware/IEDriver No disinfected C:\Programme\MaxSpeed
Adware:Adware/SideFind No disinfected C:\Programme\SideFind
Spyware:Spyware/Overpro No disinfected C:\Overpro-*
Adware:Adware/EliteBar No disinfected C:\WINDOWS\EliteSideBar
Adware:Adware/ESyndicate No disinfected C:\Programme\eSyndicate
Adware:Adware/IEDriver No disinfected C:\!Submit\catsrv32.exe
Adware:Adware/ESyndicate No disinfected C:\!Submit\esyn.dll
Adware:Adware/WinAD No disinfected C:\!Submit\MediaAccess.exe
Adware:Adware/PurityScan No disinfected C:\!Submit\pki.dll
Adware:Adware/SideSearch No disinfected C:\!Submit\sep.dll
Adware:Adware/TopSpyware No disinfected C:\!Submit\spoolsrv32.exe
Adware:Adware/MyWebSearch No disinfected C:\!Submit\SVCHOST.DLL
Adware:Adware/MyWebSearch No disinfected C:\!Submit\SVCHOST.EXE
Adware:Adware/MyWebSearch No disinfected C:\!Submit\SVCHOST32.DLL
Adware:Adware/StatBlaster No disinfected C:\!Submit\UnsF.exe
Adware:Adware/PurityScan No disinfected C:\Buddy.exe
Adware:Adware/Apropos No disinfected C:\cxtpls_loader.exe
Adware:Adware/PurityScan No disinfected C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122558-339.dll
Adware:Adware/SideSearch No disinfected C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122558-365.dll
Adware:Adware/ESyndicate No disinfected C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122558-632.dll
Spyware:Spyware/Overpro No disinfected C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122601-676.dll
Adware:Adware Program No disinfected C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122601-676.inf
Adware:Adware/eZula No disinfected C:\ezStub.exe
Adware:Adware/MemoryWatcher No disinfected C:\MemoryWatcher_b.exe
Adware:Adware/IEDriver No disinfected C:\Overpro-401.exe
Spyware:Spyware/ISTbar No disinfected C:\Programme\ISTbar\cmctl.dll
Spyware:Spyware/ISTbar No disinfected C:\Programme\ISTbar\istbarcm.dll
Adware:Adware/MemoryWatcher No disinfected C:\Programme\MemoryWatcher\MemoryWatcher.exe
Adware:Adware/MemoryWatcher No disinfected C:\Programme\MemoryWatcher\TrayIcon.ocx
Adware:Adware/MemoryWatcher No disinfected C:\Programme\MemoryWatcher\uninst.exe
Adware:Adware/MyWay No disinfected C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE
Adware:Adware/MyWay No disinfected C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL
Adware:Adware/SideFind No disinfected C:\Programme\SideFind\update\sidefind.exe
Adware:Adware/Apropos No disinfected C:\Programme\WildArcade\BlasterBlocks\blasterblocks.exe
Adware:Adware/Apropos No disinfected C:\Programme\WildArcade\BlasterBlocks\uninst.exe
Adware:Adware/SAHAgent No disinfected C:\RECYCLER\S-1-5-21-37378234-2437277671-358042210-500\Dc15.exe
Spyware:Spyware/BetterInet No disinfected C:\thin-85-1-x-x.exe
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.INF
Adware:Adware/SAHAgent No disinfected C:\WINDOWS\Downloaded Program Files\setup4002b.ini
Virus:Trj/StartPage.HX Disinfected C:\WINDOWS\ewtcgxh.exe
Virus:Trj/StartPage.HX Disinfected C:\WINDOWS\rybpkhk.exe
Adware:Adware/IEDriver No disinfected C:\WINDOWS\system32\CFFtp047.exe
Adware:Adware/PurityScan No disinfected C:\WINDOWS\system32\ocpa.exe
Adware:Adware/IEDriver No disinfected C:\WINDOWS\system32\SearchBar.htm
Adware:Adware/IEDriver No disinfected C:\WINDOWS\system32\Searchx.htm
Adware:Adware/MyWebSearch No disinfected C:\WINDOWS\system32\Services\{AA6E6C1F-06CF-42FE-9E1F-75729DE1144F}\SVCHOST.DLL
Adware:Adware/MyWebSearch No disinfected C:\WINDOWS\system32\Services\{AA6E6C1F-06CF-42FE-9E1F-75729DE1144F}\SVCHOST.EXE
Adware:Adware/MyWebSearch No disinfected C:\WINDOWS\system32\Services\{AA6E6C1F-06CF-42FE-9E1F-75729DE1144F}\SVCHOST32.DLL
Adware:Adware/MyWebSearch No disinfected C:\WINDOWS\system32\Services\{B71484AC-CFD6-45B3-8586-AD1FE8DA5932}\SVCHOST.DLL
Adware:Adware/MyWebSearch No disinfected C:\WINDOWS\system32\Services\{B71484AC-CFD6-45B3-8586-AD1FE8DA5932}\SVCHOST.EXE
Adware:Adware/MyWebSearch No disinfected C:\WINDOWS\system32\Services\{B71484AC-CFD6-45B3-8586-AD1FE8DA5932}\SVCHOST32.DLL
Adware:Adware/MyWebSearch No disinfected C:\WINDOWS\system32\Services\{F0883CB5-3AD0-4CD3-B048-552A88774BEF}\SVCHOST.DLL
Adware:Adware/MyWebSearch No disinfected C:\WINDOWS\system32\Services\{F0883CB5-3AD0-4CD3-B048-552A88774BEF}\SVCHOST32.DLL


-----------------------------------------------------------------


hier das log von antivir:

C:\
MemoryWatcher_b.exe
[FUND!] Ist das Trojanische Pferd TR/Sandbox.A
WURDE GELÖSCHT!
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\!Submit
sep.dll
[FUND!] Ist das Trojanische Pferd TR/Septic.A
WURDE GELÖSCHT!
SVCHOST.DLL
[FUND!] Enthält Signatur des Droppers DR/Agent.DF.2
WURDE GELÖSCHT!
SVCHOST.EXE
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.VN
WURDE GELÖSCHT!
SVCHOST32.DLL
[FUND!] Enthält Signatur des Droppers DR/Agent.DF.3
WURDE GELÖSCHT!
UnsF.exe
[FUND!] Ist das Trojanische Pferd TR/Stomcc.3
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\bbj\Desktop\backups
backup-20050404-122558-365.dll
[FUND!] Ist das Trojanische Pferd TR/Septic.A
WURDE GELÖSCHT!
backup-20050404-122601-676.dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.KaTum.5
WURDE GELÖSCHT!
Fehler beim Wechsel in das Verzeichnis maddin
C:\FoxServ\www\c
agChat-andr3a-8819.zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\FoxServ\www\isihcontenido
contenido-4.4.4.zip
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Program Files\Media Access
MediaAccC.dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.MediaPa.1.A
WURDE GELÖSCHT!
C:\Programme\ISTbar
cmctl.dll
[FUND!] Ist das Trojanische Pferd TR/IstBar.AQ.2
WURDE GELÖSCHT!
istbarcm.dll
[FUND!] Ist das Trojanische Pferd TR/IstBar.AQ.1
WURDE GELÖSCHT!
C:\Programme\Macromedia\Flash MX\Players\Debug
Install Flash Player 6 OSX.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
Install Flash Player 6.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Programme\Macromedia\Flash MX\Players\Release
Install Flash Player 6 OSX.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
Install Flash Player 6.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Programme\Macromedia\Flash MX 2004\Players\Debug
Install Flash Player 7 OSX.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
Install Flash Player 7.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Programme\Macromedia\Flash MX 2004\Players\Release
Install Flash Player 7 OSX.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
Install Flash Player 7.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Programme\Security iGuard
database.dat
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Programme\SideFind\update
sidefind.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.BB
WURDE GELÖSCHT!
C:\Programme\WildArcade\BlasterBlocks
blasterblocks.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.BlaBlockz.2
WURDE GELÖSCHT!
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\RECYCLER\S-1-5-21-37378234-2437277671-358042210-1006
Dc4.exe
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
Fehler beim Wechsel in das Verzeichnis Dc1
Fehler beim Wechsel in das Verzeichnis Dc2
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS
helpcach.ini
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\$NtUninstallKB824141$
user32.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
win32k.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\$NtUninstallKB826939$
cryptsvc.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
shell32.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
srrstr.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
srv.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
user32.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
winsrv.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\$NtUninstallKB828035$
msgsvc.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
wkssvc.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\$NtUninstallKB828741$
catsrv.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
catsrvut.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
clbcatex.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
clbcatq.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
colbact.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
comadmin.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
comrepl.exe
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
comsvcs.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
comuid.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
es.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
msdtcprx.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
msdtctm.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
msdtcuiu.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
mtxclu.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
mtxoci.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ole32.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
rpcrt4.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
rpcss.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
txflog.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\$NtUninstallKB833407$
bssym7.ttf
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\$NtUninstallKB835732$
callcont.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
gdi32.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
h323.tsp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
h323msp.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ipnathlp.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
lsasrv.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
mf3216.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
msasn1.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
msgina.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
mst120.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
netapi32.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
nmcom.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
rtcdll.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
schannel.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\$NtUninstallQ828026$
msdxm.ocx
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
wmp.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\Downloaded Program Files
rdgDE1882.exe
[FUND!] Ist das Trojanische Pferd TR/Spy.OBLoader
WURDE GELÖSCHT!
C:\WINDOWS\Downloaded Program Files\CONFLICT.1
rdgDE1882.exe
[FUND!] Ist das Trojanische Pferd TR/Spy.OBLoader
WURDE GELÖSCHT!
C:\WINDOWS\EliteSideBar
EliteSideBar 08.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\EliteToolBar
EliteToolBar version 60.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system
MSE_System.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32
?hkdsk.exe
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\ActiveScan
imscan.dll
[FUND!] Enthält Signatur des Micro-128 (C)-Virus
WURDE GELÖSCHT!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\Services\{AA6E6C1F-06CF-42FE-9E1F-75729DE1144F}
SVCHOST.DLL
[FUND!] Enthält Signatur des Droppers DR/Agent.DF.2
WURDE GELÖSCHT!
SVCHOST.EXE
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.VN
WURDE GELÖSCHT!
SVCHOST32.DLL
[FUND!] Enthält Signatur des Droppers DR/Agent.DF.3
WURDE GELÖSCHT!
C:\WINDOWS\system32\Services\{B71484AC-CFD6-45B3-8586-AD1FE8DA5932}
SVCHOST.DLL
[FUND!] Enthält Signatur des Droppers DR/Agent.DF.2
WURDE GELÖSCHT!
SVCHOST.EXE
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.VN
WURDE GELÖSCHT!
SVCHOST32.DLL
[FUND!] Enthält Signatur des Droppers DR/Agent.DF.3
WURDE GELÖSCHT!
C:\WINDOWS\system32\Services\{F0883CB5-3AD0-4CD3-B048-552A88774BEF}
SVCHOST.DLL
[FUND!] Enthält Signatur des Droppers DR/Agent.DF.2
WURDE GELÖSCHT!
SVCHOST32.DLL
[FUND!] Enthält Signatur des Droppers DR/Agent.DF.3
WURDE GELÖSCHT!
----------------------------------------------------------------
hier das letzte hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 18:38:44, on 06.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ULTRAE~1\UEDIT32.EXE
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\All Users\anti\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Shedule Player] C:\WINDOWS\System32\mshtegdb.exe
O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112746354060
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O21 - SSODL: Meeting Agent - {C36C5FFC-E058-4BF1-AB9B-1FEA3B680F38} - C:\WINDOWS\System32\c_86base.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:/FoxServ/mysql/bin/mysqld-nt.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

---------------------------------------------------------------

ich hoffe du hast nochmal lust dir das anzuschauen...
gruss
maddin
Seitenanfang Seitenende
06.04.2005, 20:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#57 Hallo@mad-din

Fixe mit dem HijackThis:

O4 - HKLM\..\Run: [Shedule Player] C:\WINDOWS\System32\mshtegdb.exe
O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe
O21 - SSODL: Meeting Agent - {C36C5FFC-E058-4BF1-AB9B-1FEA3B680F38} - C:\WINDOWS\System32\c_86base.dll

neustarten

-------------------------------------------------------------------------------------------------------------------------

Loesche mit der Killbox:

C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
C:\WINDOWS\system\MSE_System.dll
C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
C:\WINDOWS\system32\?hkdsk.exe
C:\Programme\Security iGuard\database.dat
C:\!Submit\catsrv32.exe
C:\!Submit\esyn.dll
C:\!Submit\MediaAccess.exe
C:\!Submit\pki.dll
C:\!Submit\sep.dll
C:\!Submit\spoolsrv32.exe
C:\!Submit\SVCHOST.DLL
C:\!Submit\SVCHOST.EXE
C:\!Submit\SVCHOST32.DLL
C:\!Submit\UnsF.exe
C:\Buddy.exe
C:\cxtpls_loader.exe
C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122558-339.dll
C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122558-365.dll
C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122558-632.dll
C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122601-676.dll
C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122601-676.inf

C:\Programme\ISTbar\cmctl.dll
C:\Programme\ISTbar\istbarcm.dll
C:\Programme\MemoryWatcher\MemoryWatcher.exe
C:\Programme\MemoryWatcher\TrayIcon.ocx
C:\Programme\MemoryWatcher\uninst.exe
C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE
C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL
C:\Programme\SideFind\update\sidefind.exe
C:\Programme\WildArcade\BlasterBlocks\blasterblocks.exe
C:\Programme\WildArcade\BlasterBlocks\uninst.exe
C:\RECYCLER\S-1-5-21-37378234-2437277671-358042210-500\Dc15.exe
C:\thin-85-1-x-x.exe
C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.INF
C:\WINDOWS\Downloaded Program Files\setup4002b.ini
C:\WINDOWS\ewtcgxh.exe
C:\WINDOWS\rybpkhk.exe
C:\WINDOWS\system32\CFFtp047.exe
C:\WINDOWS\system32\ocpa.exe
C:\WINDOWS\system32\SearchBar.htm
C:\WINDOWS\system32\Searchx.htm

C:\WINDOWS\System32\mshtegdb.exe
c:\windows\system32\taskmg.exe
C:\WINDOWS\System32\c_86base.dll

PC neustarten

CCleaner

http://www.ccleaner.com/ccdownload.asp

poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2005, 21:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#58 Hallo@Sunny_15

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.04.2005, 12:41
...neu hier

Beiträge: 7
#59 Hallo,

ich habe mir irgendwie eine Spyware oder ähnliches eingefangen und absolut null Erfahrung mit dieser Art von Attacken. Auf meinem Desktop erscheint ein schwarzer Hintergrund mit der Warnung, dass Windows Spyware auf meinem Rechner gefunden habe. Ich bin dann beim verzweifelten Versuch das "Ding" wieder loszuwerden, auf dieses Forum gestossen und hoffe, dass mir hier geholfen werden kann.

Hier eine Logfile vom HiJacker:


Logfile of HijackThis v1.99.1
Scan saved at 08:18:02, on 07.04.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\ECS\BU5\Hotkey\Hotkey.exe
C:\WINNT\System32\sistray.EXE
C:\WINNT\System32\khooker.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\pctspk.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINNT\gtwatch.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINNT\Dit.exe
C:\WINNT\DitExp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\WINNT\twain_32\S6U12K\WATCH.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\cnmsm58.exe
C:\WINNT\System32\cidaemon.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Chris1\LOKALE~1\Temp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ECSBU5Hotkey] C:\Programme\ECS\BU5\Hotkey\Hotkey.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Gtwatch] C:\WINNT\gtwatch.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - Startup: BJ Status Monitor Canon i560.lnk = C:\Dokumente und Einstellungen\Chris1\cnmss Canon i560 (Local).exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\WINNT\twain_32\S6U12K\WATCH.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {6D15BD40-CCA6-11D2-A6A0-0060089A0EFF} (RWSO_IHB) - https://banking.rwso.de/KSK_Biberach/srwso2001.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B496D9F-8460-4855-9C66-2C2A57D03F56}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\system32\vbsys2.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe


P.S.: Ich habe keine Ahnung, ob ich das mit dem Posting überhaupt richtig mache! Wenn nicht, bitte ich um Entschuldigung und Berichtigung.
Vielen Dank schon mal im Voraus!

Chriwa
Seitenanfang Seitenende
07.04.2005, 13:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#60 Hallo@Chriwa

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Start<Ausfuehren<regedit

+HKEY_CURRENT_USER\Software\Microsoft\Internet \Explorer\Desktop\Components
falls du es findest--> loesche auf der rechten Seite der Registry den Unterschluessel "0" mit Rechtsklick

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\system32\vbsys2.dll (file missing)

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\system32\vbsys2.dll
C:\WINNT\System32\runsrv32.exe
C:\WINNT\System32\runsrv32.dll
C:\WINNT\System32\txfdb32.dll
C:\WINNT\System32\srpcsrv32.dll
C:\WINNT\System32\runsvc32.exe
C:\WINNT\System\runsrv32.dll
C:\WINNT\System32\spoolsrv32.exe
C:\WINDOWS\System32\runoledb32.exe
C:\Program Files\TopAntiSpyware
C:\WINNT\desktop.html
C:\WINNT\Web\desktop.html
C:\r.exe

PC neustarten

suche und loesche:Speedy.bat

Der Trojaner versucht, Dateien von einem remoten Speicherort herunterzuladen und zu starten. Die Dateinamen der von dem Trojaner benutzten Komponenten sind runsvc32.exe, spoolsrv32.exe und srpcsrv32.dll. Die heruntergeladenen Dateien werden in C:\r.exe gespeichert.

falls du es findest;)loeschen)
•C:\Program Files\TopAntiSpyware
•C:\WINNT\desktop.html
•C:\WINNT\Web\desktop.html

so kann man C:\WINDOWS\Web\desktop.html loeschen
Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste

•C:\WINNT\Web\desktop.html
•C:\WINNT\SSICO.ICO
•C:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url
•C:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url

•Download NOD32 Antivirus System
http://www.nod32.de/download/download.php

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

scanne mit NOD32 und Antivirus (im abgesicherten Modus)
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.

dann poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »