Hijacker VX 2 kann nicht gelöscht werden.

#31 Hi!

Hab mit raman's Hilfe und der Anleitung unter http://www.lavasoftsupport.com/index.php?showtopic=54511
anscheinend VX2 gekillt!
Cool DLL-Compare finde jetzt auch nichts mehr.

ABER:

Heron hatte mir gesagt, dass es noch mehr Probleme auf meinem System gebe - welche denn?

Hab jetzt Mozilla Firefox & Thunderbird statt IE6 und Outlook Express!

Hier mein aktuelles Ad-Aware-Log:


Ad-Aware SE Build 1.05
Protokolldatei erstellt am:Montag, 24. Januar 2005 14:42:54
Created with Ad-Aware SE Personal, free for private use.
Verwendete Definitionsdatei:SE1R25 11.01.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Während des Scannings identifizierte Referenzen:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC-Index:0):13 Referenzen insgesamt
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Festlegen : Nach unbedeutenden Risikoeinträgen suchen
Festlegen : Sicherer Modus (stets Bestätigung abfragen)
Festlegen : Aktive Prozesse scannen
Festlegen : Registrierung scannen
Festlegen : Registrierung gründlich scannen
Festlegen : IE-Favoriten nach gesperrten URLs durchsuchen
Festlegen : Hosts-Datei scannen

Extended Ad-Aware SE Settings
===========================
Festlegen : Ident. Proz./Mod. beim Scanning aus Speicher entf.
Festlegen : Reg. f. für alle Benutzer (nicht nur f. akt. Ben.) scannen
Festlegen : Vor dem Löschen stets versuchen, Module aus dem Speicher zu entfernen
Festlegen : Explorer/IE b. Löschen ggf. beenden und aus Speicher entf.
Festlegen : Geöffnete Dateien beim nächsten Neustart von Windows löschen lassen
Festlegen : Nach der Wiederherstellung Objekte unter Quarantäne löschen
Festlegen : Grundlegende Ad-Aware-Einstellungen protokollieren
Festlegen : Erweiterte Ad-Aware-Einstellungen protokollieren
Festlegen : Referenz-Zusammenfassung protokollieren
Festlegen : Details zu alternativen Datenströmen protokollieren
Festlegen : Wenn kritische Objekte identifiziert wurden, Scanlauf durch akustisches Signal abschließen


24.01.2005 14:42:54 - Scanning wurde gestartet. (Vollständiger Systemscan)

MRU List Objekt erkannt!
Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\windows\currentversion\explorer\runmru
Beschreibung : mru list for items opened in start | run


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\windows\currentversion\explorer\recentdocs
Beschreibung : list of recent documents opened


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Beschreibung : list of recently saved files, stored according to file extension


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Beschreibung : list of recent programs opened


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\windows\currentversion\applets\wordpad\recent file list
Beschreibung : list of recent files opened using wordpad


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\windows\currentversion\applets\regedit
Beschreibung : last key accessed using the microsoft registry editor


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\search assistant\acmru
Beschreibung : list of recent search terms used with the search assistant


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\internet explorer
Beschreibung : last download directory used in microsoft internet explorer


MRU List Objekt erkannt!
Pfad: : software\microsoft\directdraw\mostrecentapplication
Beschreibung : most recent application to use microsoft directdraw


MRU List Objekt erkannt!
Pfad: : software\microsoft\direct3d\mostrecentapplication
Beschreibung : most recent application to use microsoft direct3d


MRU List Objekt erkannt!
Pfad: : software\microsoft\direct3d\mostrecentapplication

Beschreibung : most recent application to use microsoft direct X


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\windows media\wmsdk\general
Beschreibung : windows media sdk


MRU List Objekt erkannt!
Pfad: : C:\Dokumente und Einstellungen\Bijan Benjamin\recent
Beschreibung : list of recently opened documents


Liste der laufenden Prozesse
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 456
ThreadCreationTime : 24.01.2005 13:18:52
BasePriority : Normal


#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 536
ThreadCreationTime : 24.01.2005 13:18:54
BasePriority : High


#:3 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 580
ThreadCreationTime : 24.01.2005 13:18:54
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:4 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 592
ThreadCreationTime : 24.01.2005 13:18:54
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:5 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 752
ThreadCreationTime : 24.01.2005 13:18:55
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 776
ThreadCreationTime : 24.01.2005 13:18:55
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1064
ThreadCreationTime : 24.01.2005 13:18:57
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:8 [avguard.exe]
FilePath : C:\Programme\AVPersonal 6.27\
ProcessID : 1152
ThreadCreationTime : 24.01.2005 13:18:58
BasePriority : Normal


#:9 [avwupsrv.exe]
FilePath : C:\Programme\AVPersonal 6.27\
ProcessID : 1164
ThreadCreationTime : 24.01.2005 13:18:58
BasePriority : Normal


#:10 [nvsvc32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1204
ThreadCreationTime : 24.01.2005 13:18:58
BasePriority : Normal
FileVersion : 6.13.10.3100
ProductVersion : 6.13.10.3100
ProductName : NVIDIA Driver Helper Service, Version 31.00
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 31.00
InternalName : NVSVC
LegalCopyright : (c) NVIDIA Corporation. All rights reserved.
OriginalFilename : nvsvc32.exe

#:11 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1244
ThreadCreationTime : 24.01.2005 13:18:58
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:12 [wbload.exe]
FilePath : C:\Programme\Stardock\Object Desktop\WindowBlinds\
ProcessID : 1448
ThreadCreationTime : 24.01.2005 13:19:01
BasePriority : Normal
FileVersion : 4.4
ProductVersion : 4.4
ProductName : WindowBlinds - http://www.windowblinds.net
CompanyName : Stardock Systems, Inc
FileDescription : WindowBlinds
InternalName : WindowBlinds
LegalCopyright : Copyright © 1997-2004 Neil Banfield, © 1998-2004 Stardock.Net, Inc
OriginalFilename : WindowBlinds
Comments : This is the WindowBlinds launcher app. Please do not delete this file. If you want to uninstall WindowBlinds, then use the uninstaller!

#:13 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1744
ThreadCreationTime : 24.01.2005 13:19:05
BasePriority : Normal
FileVersion : 6.00.2600.0000 (xpclient.010817-1148)
ProductVersion : 6.00.2600.0000
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:14 [avgnt.exe]
FilePath : C:\Programme\AVPersonal 6.27\
ProcessID : 1860
ThreadCreationTime : 24.01.2005 13:19:11
BasePriority : Normal


#:15 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1880
ThreadCreationTime : 24.01.2005 13:19:13
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:16 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 596
ThreadCreationTime : 24.01.2005 13:42:48
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Ergebnis des Arbeitsspeicherscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 13


Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis des Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 13


Gründlicher Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis des gründlichen Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 13


Tracking Cookie-Scan wurde gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Ergebnis des Tracking Cookie-Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 13



Dateien werden gründlich gescannt und überprüft (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis d. Datenträgerscans für C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 13


Dateien werden gründlich gescannt und überprüft (D:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis d. Datenträgerscans für D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 13


Dateien werden gründlich gescannt und überprüft (E:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis d. Datenträgerscans für E:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 13

Scanergebnis für Hosts-Datei:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
0 Einträge gescannt.
Neue kritische Objekte:0
Bisher gefundene Objekte: 13




Bedingte Scans werden durchgeführt...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis des bedingten Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 13

14:56:51 Scan abgeschlossen

Scanzusammenfassung
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Scandauer insges.:00:13:56.641
Gescannte Objekte:160685
Identifizierte Objekte:0
Ignorierte Objekte:0
Neue kritische Objekte:0



und mein neues Hijackthis-Log:


Logfile of HijackThis v1.99.0
Scan saved at 15:00:09, on 24.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal 6.27\AVGUARD.EXE
C:\Programme\AVPersonal 6.27\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal 6.27\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Bijan Benjamin\Eigene Dateien\Programme\hijackthis199\HijackThis.exe

R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal 6.27\AVGNT.EXE /min
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106177301295
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal 6.27\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal 6.27\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Ist noch was falsches zu erkennen?!?

Bijan

#32 Fix bitte noch das:

R3 - Default URLSearchHook is missing
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)

Dann neu starten, windowsupdates installieren und falls die "O15" Eintraege noch da sein sollten, versuche es mit der deldomains.inf von hier:
http://www.mvps.org/winhelp2002/DelDomains.inf

Ein scan mit Escan ware auch niht falsch: http://www.rokop-security.de/board/index.php?showtopic=3867
__________
MfG Ralf
SEO-Spam Hunter

#33 Hallo bijan,

nur als Ergänzung zu dem was Dir raman schreibt: wie Du schon gepostet hast, kannst Du mit Deinem 56k Modem keine großen Downloads durchführen. Du brauchst aber dringend das Service Pack 2 für Dein Win XP (u.U. über 200 MB Download), um die Sicherheitslücken in Deinem System zu schließen! Besorge Dir also von irgendwo her eine CD mit dem SP2 und spiele es auf. Mache danach die wenigen seither erschienenen Updates auf http://www.windowsupdate.com und besuche diese Seite regelmäßig mindestens einmal im Monat, damit Dein System immer aktuell ist.

Vielleicht besorgst Du Dir auch eine Desktop Firewall. Welche Du am besten verwendest, findest Du hier im Firewall Forum. Schalte aber zumindestens die XP-Firewall ein.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#34 Hallo raman!

Entschuldige bitte, aber - wie benutze ich die DelDomains.inf richtig.

Hab die Anleitung nicht ganz verstanden...

Hallo Heron!

Werd bis zum Wochenende das Setvicepack 2 bekommen, dann fühl ich mich gleich sicherer...

Danke & Gruß,

Bijan

#35 Herunterladen, dann rste Maustaste auf die Datei und installieren waehlen.
__________
MfG Ralf
SEO-Spam Hunter

#36 Hallo!

Hab die Datei wie beschrieben benutzt.

Hier ist mein neuestes Hijackthis-Log:


Logfile of HijackThis v1.99.0
Scan saved at 13:26:30, on 26.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal 6.27\AVGUARD.EXE
C:\Programme\AVPersonal 6.27\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svcshost.exe
C:\Programme\AVPersonal 6.27\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\p3.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Bijan Benjamin\Eigene Dateien\Programme\hijackthis199\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal 6.27\AVGNT.EXE /min
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKLM\..\Run: [MSPluginSrvc] p3.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svcshost.exe
O4 - HKLM\..\RunServices: [MSPluginSrvc] p3.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svcshost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKCU\..\Run: [MSPluginSrvc] p3.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svcshost.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106177301295
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal 6.27\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal 6.27\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Ist jetzt alles klar?

Bijan

#37 Mein AntiVir zeigt mir immernoch Warnungen an...

Zitat:

C:\WINDOWS\SYSTEM32\DRIVERS\ETC\SVWHOST32.EXE

Ist das Trojanische Pferd TR/PSW.LdPinch.jm1

Hab's schon mehrmals versucht zu löschen, hat aber anscheinend nicht geklappt...
Hattest Du das gemeint, Heron?

Bijan

#38 Hallo bijan,

Du hast Dir schon wieder einige neue Schädlinge eingefangen, darunter auch den W32/Forbot-CF Wurm!
Solange Du Dich mit völlig ungepatchtem System und ohne Firewall im Web bewegst, machst Du die Bemühungen der Board-Profis, Dein System zu reinigen, augenblicklich wieder zunichte!!!
Mein Vorschlag: setze Dein System neu auf (wie das geht findest Du hier im Board ausführlich beschrieben), Spiele SP2 auf und installiere oder aktiviere eine Firewall. Danach die neueren Patches installieren. Vorher solltest Du im eigenen Interesse nicht mehr ins Netz gehen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#39 Hi Heron!

Hab, seitdem ich meine Problemlawine hier gepostet hab, nur noch diese Seite besucht und die Links, die mir hier empfohlen wurden.
Hab im Moment einfach nicht die Zeit, mein System neu zu konfigurieren, weil ich beruflich sehr viel am Computer sitze.
Bekomme das Sevice Pack 2 wie gesagt am Wochenende -
hoffe, dass ich noch irgendwie de Lage Herr werden kann...

Bijan

#40 Hallo bijan,

benutzt Du den infizierten Rechner für berufliche Zwecke? Das würde ich an Deiner Stelle nicht tun! Soweit ich das beurteilen kann, sind die Daten aufgrund der Art und des Ausmaßes des Malware-Befalles auf Deinem Rechner schon lange "öffentlich".

Es ist ein Irrtum zu glauben, dass man sich Schadprogramme nur beim Besuch von bestimmten Webseiten einfängt. Sobald Du mit Deinem Rechner ans Netzt gehst bist Du zahlreichen Angriffen von anderen infizierten Rechnern oder Hackern ausgesetzt, ohne dass Du zunächst etwas davon merkst. Es sei denn, Du hast eine aktive Firewall auf Deinem PC.

Infos zu Infektionswegen und alles rund um Viren & Co gibt es bei http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

Wenn Du Dir es beruflich erlauben kannst, dann gehe bis zum Wochenende und der Installation des SP2 nicht mehr ins Internet, denn bei jeder Verbindung wächst die Gefahr, dass Du Dir noch mehr Schädlinge einfängst.

Sollte das aber bis dahin nicht machbar sein, installiere Dir wenigstens eine Firewall (wie und welche ist hier im Board beschrieben), sichere Deine wichtigen Daten und lösche sie vom Rechner.

Wenn Du alle bisher vorgeschlagenen Schutzmaßnahmen auf Deinem Rechner vorgenommen hast, dann kann man ja noch einmal versuchen, solltest Du wirklich das System nicht neu aufgesetzt haben, mit Hilfe des HJT Logs Dein System erneut zu reinigen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#41 hi!

hab jetzt das service pack 2 und norton anti virus installiert.
ich glaube, jetzt ist alles klar.

hijackthis sagt folgendes:

Logfile of HijackThis v1.99.0
Scan saved at 03:09:11, on 01.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Bijan Benjamin\Eigene Dateien\Programme\hijackthis199\HijackThis.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKLM\..\Run: [MSPluginSrvc] p3.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svcshost.exe
O4 - HKLM\..\RunServices: [MSPluginSrvc] p3.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKCU\..\Run: [MSPluginSrvc] p3.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106177301295
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


was meint ihr?

gruß,

bijan

#42 Hallllo bijan,

willkommen zurück! Sieht wirklich schon besser aus.

Lade Dir die Killbox herunter
http://www.bleepingcomputer.com/files/killbox.php

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des System nicht vergessen wieder zu aktivieren!

Fixe mit HighjackThis
O4 - HKLM\..\Run: [MSPluginSrvc] p3.exe
O4 - HKLM\..\RunServices: [MSPluginSrvc] p3.exe
O4 - HKCU\..\Run: [MSPluginSrvc] p3.exe

Öffne den Taskmanager (Ctrl+Alt+Entf drücken), suche den Prozess "p3.exe" und beende ihn.

Öffne den Windows Explorer und suche nach "p3.exe"
Öffne die Killbox und kopiere die Datei "p3.exe" mit voller Pfadangabe in die Box und drücke das Kreuz auf rotem Grund. Wenn Du gefragt wirst, ob Du den Rechner neu starten möchtest, dann antworte "ja".

Um ganz sicher zu gehen, könnntest Du noch folgendes machen:
eScan Erkennungstool
http://www.mwti.net/antivirus/free_utilities.asp

Erstelle einen Ordner c:\bases
das Programm in den Ordner c:\bases (wichtig!) entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern)

Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten)
http://www.tu-berlin.de/www/software/virus/savemode.shtml
Das Programm mit "mwav.exe"(oder: "mwavscan.com") starten. Überall die Häkchen setzen bei:
All Files, Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories
=> und dann "Scan" klicken.
Nach abgeschlossenem Scan öffne das Log und suche (Bearbeiten => Suchen) nach Zeilen mit "infected". Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#43 Hallo Heron!

Hab alles so gemacht, wie du gesagt hast - nur, dass p3.exe schon nach dem ersten Löschversuch weg war.
Als ich nach 3 Stunden endlich das update Für das Mwav hatte, hat der nochmal 3-stündige Scan mich doch etwas schockiert:

C:\WINDOWS\system32\svphost.exe infected by "Trojan-Proxy.Win32.Agent.dj" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\svphostu.exe infected by "Trojan-Proxy.Win32.Agent.bz" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Bijan Benjamin\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-3cc46f89-7914b80a.zip infected by "Trojan-Downloader.Java.OpenStream.t" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Bijan Benjamin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2NMFQL2Z\track[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Bijan Benjamin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GHE3O9QR\id201[1].exe infected by "Trojan.Win32.SecondThought.ak" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Bijan Benjamin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MX8BQP25\TRACK[1].CHM infected by "TrojanDownloader.JS.Psyme.n" Virus. Action Taken: No Action Taken.

C:\Programme\Norton AntiVirus\Quarantine\31823457.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.

C:\Programme\Norton AntiVirus\Quarantine\41BA6FD5.exe infected by "Backdoor.Win32.Pakes" Virus. Action Taken: No Action Taken.

C:\Programme\Norton AntiVirus\Quarantine\4254252C.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

C:\Programme\Norton AntiVirus\Quarantine\47353C5F.EXE infected by "not-a-virus:AdWare.VirtualBouncer" Virus. Action Taken: No Action Taken.

C:\Programme\Norton AntiVirus\Quarantine\4738665B.EXE infected by "not-a-virus:AdWare.VirtualBouncer.e" Virus. Action Taken: No Action Taken.

C:\Programme\Norton AntiVirus\Quarantine\473F3A54.exe infected by "Trojan.Win32.SecondThought.an" Virus. Action Taken: No Action Taken.

C:\Programme\Norton AntiVirus\Quarantine\47426451.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

C:\Programme\Norton AntiVirus\Quarantine\47426451.exe infected by "Trojan.Win32.SecondThought.an" Virus. Action Taken: No Action Taken.

C:\Programme\Norton AntiVirus\Quarantine\47450E4D.EXE infected by "not-a-virus:AdWare.VirtualBouncer" Virus. Action Taken: No Action Taken.

C:\Programme\Norton AntiVirus\Quarantine\47493849.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.

C:\Programme\Norton AntiVirus\Quarantine\62D15F6B.exe infected by "TrojanDownloader.Win32.Harnig.gen" Virus. Action Taken: No Action Taken.

C:\Programme\Norton AntiVirus\Quarantine\6BBA5658.exe infected by "not-a-virus:AdWare.VirtualBouncer.i" Virus. Action Taken: No Action Taken.

C:\Programme\SurfSideKick 2\Ssk.exe infected by "not-a-virus:AdWare.SurfSide.c" Virus. Action Taken: No Action Taken.

C:\Programme\SurfSideKick 2\SskBho.dll infected by "not-a-virus:AdWare.TotalVelocity.x" Virus. Action Taken: No Action Taken.

C:\System Volume Information\_restore{2CDB9BBE-FC9A-4B78-81CD-7EAF66086997}\RP11\A0006009.exe infected by "TrojanDownloader.Win32.Sherlol" Virus. Action Taken: No Action Taken.

C:\System Volume Information\_restore{2CDB9BBE-FC9A-4B78-81CD-7EAF66086997}\RP11\A0006013.EXE infected by "TrojanDownloader.Win32.Sherlol" Virus. Action Taken: No Action Taken.

C:\System Volume Information\_restore{2CDB9BBE-FC9A-4B78-81CD-7EAF66086997}\RP11\A0006014.exe infected by "TrojanDownloader.Win32.Small.ca" Virus. Action Taken: No Action Taken.

C:\System Volume Information\_restore{2CDB9BBE-FC9A-4B78-81CD-7EAF66086997}\RP11\A0006032.reg infected by "Trojan.WinREG.StartPage" Virus. Action Taken: No Action Taken.

C:\WINDOWS\Downloaded Program Files\loader2.ocx infected by "Trojan-Downloader.Win32.Agent.ex" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\drivers\etc\svwhost32.exe infected by "TrojanDropper.Win32.Joiner.aj" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\svphostu.exe infected by "Trojan-Proxy.Win32.Agent.bz" Virus. Action Taken: No Action Taken.

C:\WINDOWS\Temp\adlinstallwin32.exe infected by "Trojan.Win32.SecondThought.ak" Virus. Action Taken: No Action Taken.

C:\WINDOWS\Temp\nsdtmp09.dll infected by "not-a-virus:AdWare.MetaDirect.a" Virus. Action Taken: No Action Taken.

C:\WINDOWS\Temp\se.exe infected by "not-a-virus:AdWare.WindowEnhancer" Virus. Action Taken: No Action Taken.

C:\WINDOWS\Downloaded Program Files\loader2.ocx infected by "Trojan-Downloader.Win32.Agent.ex" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\drivers\etc\svwhost32.exe infected by "TrojanDropper.Win32.Joiner.aj" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\svphostu.exe infected by "Trojan-Proxy.Win32.Agent.bz" Virus. Action Taken: No Action Taken.

C:\WINDOWS\Temp\adlinstallwin32.exe infected by "Trojan.Win32.SecondThought.ak" Virus. Action Taken: No Action Taken.

C:\WINDOWS\Temp\nsdtmp09.dll infected by "not-a-virus:AdWare.MetaDirect.a" Virus. Action Taken: No Action Taken.

C:\WINDOWS\Temp\se.exe infected by "not-a-virus:AdWare.WindowEnhancer" Virus. Action Taken: No Action Taken.

Tue Feb 01 19:32:09 2005 => ***** Scanning complete. *****

Tue Feb 01 19:32:09 2005 => Total Files Scanned: 116144
Tue Feb 01 19:32:09 2005 => Total Virus(es) Found: 44
Tue Feb 01 19:32:09 2005 => Total Disinfected Files: 0
Tue Feb 01 19:32:09 2005 => Total Files Renamed: 0
Tue Feb 01 19:32:09 2005 => Total Deleted Files: 0
Tue Feb 01 19:32:09 2005 => Total Errors: 15
Tue Feb 01 19:32:09 2005 => Time Elapsed: 03:35:31
Tue Feb 01 19:32:09 2005 => Virus Database Date: 2005/01/28
Tue Feb 01 19:32:09 2005 => Virus Database Count: 117012

Tue Feb 01 19:32:09 2005 => Scan Completed.


Also - was soll ich jetzt machen?!?!

Bijan

#44 Hallo bijan,

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!

Start => Ausführen "cleanmgr" (ohne Anführungszeichen) eingeben. Laufwerk C:\ => OK. Nur Temporäre Dateien und Temporary Internet Files löschen

NAV öffnen => in den Quarantänebereich gehen und alle gespeicherten Dateien löschen

KillBox
http://www.bleepingcomputer.com/files/killbox.php

Killbox öffnen und nacheinander die als "infected" angegebenen Dateien mit kompletter Pfadangabe einfügen, das rote Kreuz drücken, auf die Frage nach dem Neustart mit "no" antworten, nächste Datei usf. und bei der letzten Datei dann Anfrage nach Computerstart mit "yes" beantworten.

C:\WINDOWS\system32\svphost.exe
C:\WINDOWS\system32\svphostu
C:\Dokumente und Einstellungen\Bijan Benjamin\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-3cc46f89-7914b80a.zip
C:\Programme\SurfSideKick 2\Ssk.exe
C:\Programme\SurfSideKick 2\SskBho.dll
C:\WINDOWS\Downloaded Program Files\loader2.ocx
C:\WINDOWS\system32\drivers\etc\svwhost32.exe
C:\WINDOWS\system32\svphostu.exe
C:\WINDOWS\Downloaded Program Files\loader2.ocx
C:\WINDOWS\system32\drivers\etc\svwhost32.exe


DllCompare
http://www.atribune.org/downloads/DllCompare.exe
Locate.com Button drücken und wenn der Scan beendet ist Compare button drücken und erstelle das Log => posten


Erneuter Scan mit eScan im abgesicherten Modus und "infected" posten wie gehabt.

Aktuelles HJT Log ebenfalls posten

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#45 Hi!

Hab die "Anleitung" befolgt. Hier nun meine Logs:

Hijackthis:

Logfile of HijackThis v1.99.0
Scan saved at 19:37:35, on 08.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Bijan Benjamin\Eigene Dateien\Programme\hijackthis199\HijackThis.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svcshost.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106177301295
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


DLL-Compare:


* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\cdplay~1.man Mon 2 Aug 2004 13:48:56 A..HR 749 0,73 K
C:\WINDOWS\SYSTEM32\kgygaavl.sys Wed 2 Feb 2005 2:50:48 A.SH. 10.022 9,79 K
C:\WINDOWS\SYSTEM32\logonu~1.man Mon 2 Aug 2004 13:49:04 A..HR 488 0,48 K
C:\WINDOWS\SYSTEM32\ncpacp~1.man Mon 2 Aug 2004 13:48:56 A..HR 749 0,73 K
C:\WINDOWS\SYSTEM32\nwccpl~1.man Mon 2 Aug 2004 13:48:56 A..HR 749 0,73 K
C:\WINDOWS\SYSTEM32\sapicp~1.man Mon 2 Aug 2004 13:48:56 A..HR 749 0,73 K
C:\WINDOWS\SYSTEM32\window~1.man Mon 2 Aug 2004 13:49:04 A..HR 488 0,48 K
C:\WINDOWS\SYSTEM32\wuaucp~1.man Mon 2 Aug 2004 13:48:56 A..HR 749 0,73 K
________________________________________________

2.185 items found: 2.139 files (8 H/S), 46 directories (2 H/S).
Total of file sizes: 416.913.847 bytes 397,60 M

Administrator Account = Wahr

AppInit_DLLs value = wbsys.dll (not hidden)
--------------------End log---------------------


EScan:

C:\!Submit\svphost.exe infected by "Trojan-Proxy.Win32.Agent.dj" Virus. Action Taken: No Action Taken.

C:\System Volume Information\_restore{2CDB9BBE-FC9A-4B78-81CD-7EAF66086997}\RP11\A0006009.exe infected by "TrojanDownloader.Win32.Sherlol" Virus. Action Taken: No Action Taken.

C:\System Volume Information\_restore{2CDB9BBE-FC9A-4B78-81CD-7EAF66086997}\RP11\A0006013.EXE infected by "TrojanDownloader.Win32.Sherlol" Virus. Action Taken: No Action Taken.

C:\System Volume Information\_restore{2CDB9BBE-FC9A-4B78-81CD-7EAF66086997}\RP11\A0006014.exe infected by "TrojanDownloader.Win32.Small.ca" Virus. Action Taken: No Action Taken.

C:\System Volume Information\_restore{2CDB9BBE-FC9A-4B78-81CD-7EAF66086997}\RP11\A0006032.reg infected by "Trojan.WinREG.StartPage" Virus. Action Taken: No Action Taken.

Tue Feb 08 23:21:55 2005 => ***** Scanning complete. *****

Tue Feb 08 23:21:55 2005 => Total Files Scanned: 115382
Tue Feb 08 23:21:55 2005 => Total Virus(es) Found: 13
Tue Feb 08 23:21:55 2005 => Total Disinfected Files: 0
Tue Feb 08 23:21:55 2005 => Total Files Renamed: 0
Tue Feb 08 23:21:55 2005 => Total Deleted Files: 0
Tue Feb 08 23:21:55 2005 => Total Errors: 8
Tue Feb 08 23:21:55 2005 => Time Elapsed: 03:33:48
Tue Feb 08 23:21:55 2005 => Virus Database Date: 2005/01/28
Tue Feb 08 23:21:55 2005 => Virus Database Count: 117012

Tue Feb 08 23:21:55 2005 => Scan Completed.

Tue Feb 08 23:38:30 2005 => Virus Database Date: 2005/01/28
Tue Feb 08 23:38:30 2005 => Virus Database Count: 117012


Was heißt das jetzt?

Gruß,

Bijan