Home » Spyware & Browser Hijacker Support Forum » msc32.exe + Default_Page_URL = http://lookfor.cc?pin=13020 » Themenansicht
msc32.exe + Default_Page_URL = http://lookfor.cc?pin=13020 |
||
|---|---|---|
| #0
| ||
|
06.02.2005, 11:23
Member
Beiträge: 22 |
||
 
|
|
|
|
07.02.2005, 12:01
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo@Diddi1000
W32/Forbot-DD ist ein IRC-Backdoor- und ein Netzwerkwurm für die Windows-Plattform. Sobald er installiert ist, verbindet sich W32/Forbot-DD mit einem vorkonfigurierten IRC-Server und einem Kanal, über den ein Angreifer weitere Befehle senden kann. Der Wurm verbreitet sich auf nicht gepatchte Computer, die von der LSASS-Schwachstelle (siehe MS04-011) betroffen sind, und über Backdoors, die von Trojanern der Troj/Optix-Familie betroffen sind. W32/Forbot-DD erstellt außerdem seinen eigenen Dienst namens "MSCPLSCAN" mit dem Anzeigenamen "NvCplScan". Sobald er installiert ist, verbindet sich W32/Forbot-DD mit einem vorkonfigurierten IRC-Server und einem Kanal, über den ein Angreifer weitere Befehle senden kann. Aufgrund dieser Befehle kann der infizierte Computer folgende Funktionen starten: Fluten eines remoten Hosts (entweder über ping oder HTTP) Starten eines SOCKS4-Proxyservers Starten eines HTTP-Servers Starten eines FTP-Servers Portscan zufällig gewählter IP-Adressen Ausführen willkürlicher Befehle Stehlen von Daten, wie Kennwörtern und Produktschlüsseln Hochladen und Herunterladen von Dateien. Gehe in die Registry Start<Ausfuehren<regedit loesche mit rechtsklick: NvCplScan msc32.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ NvCplScan msc32.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ NvCplScan msc32.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ NvCplScan msc32.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ NvCplScan msc32.exe HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ NvCplScan msc32.exe Bearbeiten-->Suchen: MSCPLSCAN NvCplScan loesche, falls du dies in der Registry findest unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ HKEY_LOCAL_MACHINE] \SYSTEM\ControlSet001\Services\ HKEY_LOCAL_MACHINE] \SYSTEM\ControlSet002\Services\ _____________________________________________________________________________________ Getservices License: Freeware/Getservices Note: You must run this program as a user with Administrator privaleges. ->klicke auf "getservice.bat und poste, was im Editor erscheint. http://www.bleepingcomputer.com/files/getservices.php Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs kopiere rein: {9516B794-BB01-42CB-B297-D54C500211DE} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) das machst du auch mit: {D227B9C0-924A-4C47-BE1C-CA13C2079D75} {54645654-2225-4455-44A1-9F4543D34545} NvCplScan Setup experation {11111111-1111-1111-1111-111191113457} {24311111-1111-1121-1111-111191113457} {33331111-1111-1111-1111-611111193457} #Gehe auf diese Seite: http://www.lavasofthelp.com/submit/ kopiere folgendes Submit) Copy and paste the full filepaths below and hit "submit", one at a time: C:\DOKUME~1\Internet\LOKALE~1\Temp\sp.dll C:\DOKUME~1\Internet\LOKALE~1\Temp\sp.dll/sp.html C:\WINDOWS\System32\vbsys2.dll C:\WINDOWS\System32\nmih.dll C:\WINDOWS\System32\msc32.exe C:\WINDOWS\svchost.exe #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Internet\LOKALE~1\Temp\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=13020 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=13020 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Internet\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {9516B794-BB01-42CB-B297-D54C500211DE} - C:\WINDOWS\System32\nmih.dll O4 - HKLM\..\Run: [NvCplScan] msc32.exe O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe O4 - HKLM\..\RunServices: [NvCplScan] msc32.exe-->IRC backdoor Trojan/W32/Forbot-DD O4 - HKCU\..\Run: [NvCplScan] msc32.exe O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O18 - Filter: text/html - {1B249552-57CD-4813-AFE1-D81896A89A0B} - C:\WINDOWS\System32\nmih.dll O18 - Filter: text/plain - {1B249552-57CD-4813-AFE1-D81896A89A0B} - C:\WINDOWS\System32\nmih.dll O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing) O21 - SSODL: MSTskMgr32 - {D227B9C0-924A-4C47-BE1C-CA13C2079D75} - C:\WINDOWS\System32\c_50rque.dll PC neustarten KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" c:\ex.cab c:\eied_s7.cab c:\ied_s7.cab C:\DOKUME~1\Internet\LOKALE~1\Temp\sp.dll C:\DOKUME~1\Internet\LOKALE~1\Temp\sp.dll/sp.html C:\WINDOWS\System32\vbsys2.dll C:\WINDOWS\System32\nmih.dll C:\WINDOWS\System32\c_50rque.dll C:\WINDOWS\System32\msc32.exe C:\WINDOWS\svchost.exe PC neustarten--> in den abgesicherten Modus (F8 druecken, wen der PC hochfaehrt--> melde dich als Administrator an) Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k Loesche alle Dateien in: -->C:\WINDOWS\Downloaded Program Files\ mache einen Komplettscann mit dem Antivirus (den du aber vorher updaten solltest) und poste mir das Log vom Scann PC neustarten #backdoor.agent.b.removal.tool.(Symantec) http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html PC neustarten #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein CWShredder 2.12 [2004-12-13] http://www.majorgeeks.com/download3019.html Log-->"make Report"--> poste das Log vom Scann #McAfee FreeScan (Online) www.mcafee.com/myapps/mfs/default.asp #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.02.2005 um 12:41 Uhr von Sabina editiert.
|
|
|
|
|
|
|
07.02.2005, 19:20
Member
Themenstarter Beiträge: 22 |
#3
erst mal vielen Dank für die Mühe die du dir gemacht hast. Hatte etwas Schwierigkeiten, es hat nicht alles geklappt. Nachfolgend meine ganzen Aktionen, bisher läuft alles.
Gruß Bei Getservice.bat ist der Editor leer REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{9516B794-BB01-42CB-B297-D54C500211DE}" 07.02.2005 14:42:58 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9516B794-BB01-42CB-B297-D54C500211DE}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9516B794-BB01-42CB-B297-D54C500211DE}\InProcServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9516B794-BB01-42CB-B297-D54C500211DE}] REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{D227B9C0-924A-4C47-BE1C-CA13C2079D75}" 07.02.2005 14:46:00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D227B9C0-924A-4C47-BE1C-CA13C2079D75}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D227B9C0-924A-4C47-BE1C-CA13C2079D75}\InProcServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "MSTskMgr32"="{D227B9C0-924A-4C47-BE1C-CA13C2079D75}" REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{54645654-2225-4455-44A1-9F4543D34545}" 07.02.2005 14:48:39 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{54645654-2225-4455-44A1-9F4543D34545}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{54645654-2225-4455-44A1-9F4543D34545}\InProcServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "SystemCheck2"="{54645654-2225-4455-44A1-9F4543D34545}" REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "NvCplScan" 07.02.2005 14:51:14 [HKEY_USERS\S-1-5-21-1229272821-113007714-1202660629-1003\Software\Microsoft\Windows\CurrentVersion\Run] "NvCplScan"="msc32.exe" REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "Setup experation" 07.02.2005 14:53:56 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Setup experation"="C:\\WINDOWS\\svchost.exe" REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{11111111-1111-1111-1111-111191113457}" 07.02.2005 14:57:42 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111191113457}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111191113457}\Contains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111191113457}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111191113457}\InstalledVersion] REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{24311111-1111-1121-1111-111191113457}" 07.02.2005 15:00:59 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{24311111-1111-1121-1111-111191113457}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{24311111-1111-1121-1111-111191113457}\Contains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{24311111-1111-1121-1111-111191113457}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{24311111-1111-1121-1111-111191113457}\InstalledVersion] REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{33331111-1111-1111-1111-611111193457}" 07.02.2005 15:03:33 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193457}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193457}\Contains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193457}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193457}\InstalledVersion] Auf der Lavasoft Seite komme ich nicht weiter, da mein Englisch zu schlecht. Wenn ich den File eingebe kommt immer eine Fehlermeldung, dass zu wenig Informationen da sind. Hier das log des Virenscanns: Erstellungsdatum der Reportdatei: Montag, 7. Februar 2005 15:45 AntiVir®/XP (2000 + NT) Personal Edition v6.29.00.03 vom 13.12.2004 VDF-Datei v6.29.0.102 (0) vom 04.02.2005 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. Es wird nach 97054 Viren bzw. unerwünschten Programmen gesucht. Plattform: Windows NT Workstation Windows-Version: 5.1 Build 2600 (Service Pack 1) Benutzername: Administrator Computername: MEINER Prozessor: Pentium Arbeitsspeicher: 488944 KB frei Versionsinformationen: AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44 AVEWIN32.DLL : v6.29.0.11 807424 04.02.2005 21:01:08 AVGNT.EXE : v6.28.00.02 127016 14.12.2004 17:50:44 AVGUARD.EXE : v6.29.00.03 241704 14.12.2004 17:50:44 GUARDMSG.DLL : v6.28.00.02 98344 14.12.2004 17:50:44 AVGCMSG.DLL : v6.28.00.02 266280 14.12.2004 17:50:44 AVGNTDD.SYS : v6.29.00.02 32560 14.12.2004 17:50:44 AVPACK32.DLL : v6, 28, 0, 4 303144 14.12.2004 17:50:44 AVGETVER.DLL : v6.22.00.00 24576 14.12.2004 17:50:44 AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44 AVSHLEXT.DLL : v6.22.00.00 57344 14.12.2004 17:50:44 AVSched32.EXE : v6.29.00.00 110632 14.12.2004 17:50:44 AVSched32.DLL : v6.28.00.01 122880 14.12.2004 17:50:44 AVREG.DLL : v6.27.00.01 41000 14.12.2004 17:50:44 AVRep.DLL : v6.29.00.102 946216 04.02.2005 21:01:18 INETUPD.EXE : v6.29.00.02 262203 14.12.2004 17:50:44 INETUPD.DLL : v6.29.00.02 159815 14.12.2004 17:50:44 CTL3D32.DLL : v2.31.000 27136 29.08.2002 13:00:00 MFC42.DLL : v6.00.8665.0 995383 29.08.2002 13:00:00 MSVCRT.DLL : v7.0.2600.1106 (xpsp1.020828-1920 MSVCRT.DLL : v7.0.2600.1106 323072 29.08.2002 13:00:00 CTL3DV2.DLL : Keine Information Konfigurationsdaten: Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG Startpfad: C:\Programme\AVPersonal Kommandozeile: Startmodus: unbekannt Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [ ] Alle Dateien [X] Programmdateien Endungen: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP Reaktion bei Fund: [X] Reparieren mit Rückfrage [ ] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [X] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [ ] AVWin®/NT Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: mittel Laufwerke: C: Festplatte D: Festplatte E: CDRom F: Diskettenlaufwerk Start des Suchlaufs: Montag, 7. Februar 2005 15:45 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Master-Bootsektor von Festplatte HD1 Der Sektor konnte nicht gelesen werden! Fehlercode: 0x0015 Bootsektor von Laufwerk C: OK C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp ~DF36C0.tmp Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Ende des Suchlaufs: Montag, 7. Februar 2005 16:23 Benötigte Zeit: 37:39 min 1737 Verzeichnisse wurden durchsucht 18123 Dateien wurden geprüft 7 Warnungen wurden ausgegeben 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Viren bzw. unerwünschte Programme wurden gefunden Hier der Log von AdAware: Ad-Aware SE Build 1.05 Logfile Created on:Montag, 7. Februar 2005 18:24:35 Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R27 05.02.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» MRU List(TAC index:0):17 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects 07.02.2005 18:24:35 - Scan started. (Full System Scan) MRU List Object Recognized! Location: : S-1-5-21-1229272821-113007714-1202660629-1003\software\microsoft\search assistant\acmru Description : list of recent search terms used with the search assistant MRU List Object Recognized! Location: : S-1-5-21-1229272821-113007714-1202660629-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Description : list of recently saved files, stored according to file extension MRU List Object Recognized! Location: : S-1-5-21-1229272821-113007714-1202660629-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Description : list of recent programs opened MRU List Object Recognized! Location: : S-1-5-21-1229272821-113007714-1202660629-1003\software\microsoft\windows\currentversion\explorer\recentdocs Description : list of recent documents opened MRU List Object Recognized! Location: : S-1-5-21-1229272821-113007714-1202660629-1003\software\microsoft\office\10.0\excel\recent files Description : list of recent files used by microsoft excel MRU List Object Recognized! Location: : S-1-5-21-1229272821-113007714-1202660629-1003\software\microsoft\internet explorer Description : last download directory used in microsoft internet explorer MRU List Object Recognized! Location: : software\microsoft\directdraw\mostrecentapplication Description : most recent application to use microsoft directdraw MRU List Object Recognized! Location: : S-1-5-21-1229272821-113007714-1202660629-1003\software\microsoft\microsoft management console\recent file list Description : list of recent snap-ins used in the microsoft management console MRU List Object Recognized! Location: : S-1-5-21-1229272821-113007714-1202660629-1003\software\microsoft\mediaplayer\player\settings Description : last save as directory used in jasc paint shop pro MRU List Object Recognized! Location: : S-1-5-21-1229272821-113007714-1202660629-1003\software\microsoft\mediaplayer\player\settings Description : last open directory used in jasc paint shop pro MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct3d MRU List Object Recognized! Location: : S-1-5-21-1229272821-113007714-1202660629-1003\software\microsoft\mediaplayer\preferences Description : last playlist index loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-1229272821-113007714-1202660629-1003\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-1229272821-113007714-1202660629-1003\software\microsoft\mediaplayer\medialibraryui Description : last selected node in the microsoft windows media player media library MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct X MRU List Object Recognized! Location: : S-1-5-21-1229272821-113007714-1202660629-1003\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : C:\Dokumente und Einstellungen\Besitzer\recent Description : list of recently opened documents Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32\ ProcessID : 476 ThreadCreationTime : 07.02.2005 17:23:48 BasePriority : Normal #:2 [csrss.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 532 ThreadCreationTime : 07.02.2005 17:23:51 BasePriority : Normal #:3 [winlogon.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 556 ThreadCreationTime : 07.02.2005 17:23:52 BasePriority : High #:4 [services.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 600 ThreadCreationTime : 07.02.2005 17:23:52 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Anwendung für Dienste und Controller InternalName : services.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : services.exe #:5 [lsass.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 612 ThreadCreationTime : 07.02.2005 17:23:52 BasePriority : Normal FileVersion : 5.1.2600.1106 (xpsp1.020828-1920) ProductVersion : 5.1.2600.1106 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:6 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 764 ThreadCreationTime : 07.02.2005 17:23:52 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:7 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 808 ThreadCreationTime : 07.02.2005 17:23:52 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:8 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 952 ThreadCreationTime : 07.02.2005 17:23:54 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:9 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 976 ThreadCreationTime : 07.02.2005 17:23:54 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:10 [spoolsv.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1136 ThreadCreationTime : 07.02.2005 17:23:55 BasePriority : Normal FileVersion : 5.1.2600.0 (XPClient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolsv.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : spoolsv.exe #:11 [avguard.exe] FilePath : C:\Programme\AVPersonal\ ProcessID : 1240 ThreadCreationTime : 07.02.2005 17:23:55 BasePriority : Normal #:12 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1340 ThreadCreationTime : 07.02.2005 17:23:55 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:13 [wdfmgr.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1416 ThreadCreationTime : 07.02.2005 17:23:56 BasePriority : Normal FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act) ProductVersion : 5.2.3790.1230 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Windows User Mode Driver Manager InternalName : WdfMgr LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : WdfMgr.exe #:14 [vsmon.exe] FilePath : C:\WINDOWS\system32\ZoneLabs\ ProcessID : 1488 ThreadCreationTime : 07.02.2005 17:23:57 BasePriority : Normal FileVersion : 5.1.033.000 ProductVersion : 5.1.033.000 ProductName : TrueVector Service CompanyName : Zone Labs Inc. FileDescription : TrueVector Service InternalName : vsmon LegalCopyright : Copyright © 1998-2004, Zone Labs Inc. OriginalFilename : vsmon.exe #:15 [explorer.exe] FilePath : C:\WINDOWS\ ProcessID : 1756 ThreadCreationTime : 07.02.2005 17:24:03 BasePriority : Normal FileVersion : 6.00.2800.1106 (xpsp1.020828-1920) ProductVersion : 6.00.2800.1106 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : EXPLORER.EXE #:16 [soundman.exe] FilePath : C:\WINDOWS\ ProcessID : 1908 ThreadCreationTime : 07.02.2005 17:24:07 BasePriority : Normal FileVersion : 5.0.14 ProductVersion : 5.0.14 ProductName : Realtek Sound Manager CompanyName : Realtek Semiconductor Corp. FileDescription : Realtek Sound Manager InternalName : ALSMTray LegalCopyright : Copyright (c) 2001-2002 Realtek Semiconductor Corp. OriginalFilename : ALSMTray.exe Comments : Realtek AC97 Audio Sound Manager #:17 [ltsmmsg.exe] FilePath : C:\WINDOWS\ ProcessID : 1916 ThreadCreationTime : 07.02.2005 17:24:07 BasePriority : Normal FileVersion : 3.1.113 3.1.113 05/07/2002 14:54:58 ProductVersion : 3.1.113 3.1.113 05/07/2002 14:54:58 ProductName : Lucent SoftModem Messaging Applet CompanyName : Lucent Technologies FileDescription : SoftModem Messaging Applet InternalName : smdmstat.exe LegalCopyright : Copyright © Lucent Technologies 1998-2000 OriginalFilename : smdmstat.exe #:18 [avgnt.exe] FilePath : C:\Programme\AVPersonal\ ProcessID : 1928 ThreadCreationTime : 07.02.2005 17:24:07 BasePriority : Normal #:19 [zlclient.exe] FilePath : C:\Programme\Zone Labs\ZoneAlarm\ ProcessID : 1936 ThreadCreationTime : 07.02.2005 17:24:07 BasePriority : Normal FileVersion : 5.1.033.000 ProductVersion : 5.1.033.000 ProductName : Zone Labs Client CompanyName : Zone Labs Inc. FileDescription : Zone Labs Client InternalName : zlclient LegalCopyright : Copyright © 1998-2004, Zone Labs Inc. OriginalFilename : zlclient.exe #:20 [qttask.exe] FilePath : C:\Programme\QuickTime\ ProcessID : 1960 ThreadCreationTime : 07.02.2005 17:24:07 BasePriority : Normal FileVersion : 6.5.1 ProductVersion : QuickTime 6.5.1 ProductName : QuickTime CompanyName : Apple Computer, Inc. InternalName : QuickTime Task LegalCopyright : © Apple Computer, Inc. 2001-2004 OriginalFilename : QTTask.exe #:21 [capictrl.exe] FilePath : C:\Programme\Telekom\Eumex 504PC USB\ ProcessID : 2036 ThreadCreationTime : 07.02.2005 17:24:07 BasePriority : Normal FileVersion : 1.00 ProductVersion : 1.00 ProductName : CAPIControl Application CompanyName : DeTeWe AG & Co. FileDescription : CAPIControl MFC Application InternalName : CAPIControl LegalCopyright : Copyright (C) 1999-2000 DeTeWe AG & Co. OriginalFilename : CAPIControl.EXE #:22 [hpobnz08.exe] FilePath : C:\Programme\Hewlett-Packard\Digital Imaging\bin\ ProcessID : 172 ThreadCreationTime : 07.02.2005 17:24:09 BasePriority : Normal FileVersion : 4.2.0.020 ProductVersion : 2.4.1.020 ProductName : hp digital imaging - hp all-in-one series CompanyName : Hewlett-Packard Co. FileDescription : HP OfficeJet COM Device Objects InternalName : HPOBNZ08 LegalCopyright : Copyright (C) Hewlett-Packard Co. 1995-2001 OriginalFilename : HPOBNZ08.EXE Comments : HP OfficeJet <Banzai> Series COM Device Objects #:23 [ccui.exe] FilePath : C:\Programme\TELEDAT\WCOM\SYSTEM\ ProcessID : 224 ThreadCreationTime : 07.02.2005 17:24:10 BasePriority : Normal FileVersion : 1.71.5141 ProductVersion : 1.71 ProductName : RVS-COM CompanyName : RVS Datentechnik GmbH, München FileDescription : RVS CommCenter InternalName : CCUI LegalCopyright : Copyright © 1988-1999 by RVS Datentechnik GmbH, München OriginalFilename : CCUI.EXE #:24 [ccsrv.exe] FilePath : C:\Programme\TELEDAT\WCOM\SYSTEM\ ProcessID : 432 ThreadCreationTime : 07.02.2005 17:24:17 BasePriority : Normal FileVersion : 1.71.5141 ProductVersion : 1.71 ProductName : RVS-COM CompanyName : RVS Datentechnik GmbH, München FileDescription : RVS CommCenter Port Server InternalName : CCSRV LegalCopyright : Copyright © 1988-1999 by RVS Datentechnik GmbH, München OriginalFilename : CCSRV.EXE #:25 [ad-aware.exe] FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\ ProcessID : 492 ThreadCreationTime : 07.02.2005 17:24:24 BasePriority : Normal FileVersion : 6.2.0.206 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved #:26 [hpoevm08.exe] FilePath : C:\Programme\Hewlett-Packard\Digital Imaging\bin\ ProcessID : 500 ThreadCreationTime : 07.02.2005 17:24:28 BasePriority : Normal FileVersion : 4.2.0.020 ProductVersion : 2.4.1.020 ProductName : hp digital imaging - hp all-in-one series CompanyName : Hewlett-Packard Co. FileDescription : HP OfficeJet COM Event Manager InternalName : HPOEVM08 LegalCopyright : Copyright (C) Hewlett-Packard Co. 1995-2001 OriginalFilename : HPOEVM08.EXE Comments : HP OfficeJet COM Event Manager Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 17 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 17 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 17 Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 17 Deep scanning and examining files (C  »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 17 Deep scanning and examining files (D »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for D:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 17 Scanning Hosts file...... Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts". »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Hosts file scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 1 entries scanned. New critical objects:0 Objects found so far: 17 Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 17 18:33:18 Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:08:42.452 Objects scanned:81809 Objects identified:0 Objects ignored:0 New critical objects:0 Hier der Report vom CWShredder: **** Run Keys **** RUN: [SoundMan] SOUNDMAN.EXE RUN: [LTSMMSG] LTSMMSG.exe RUN: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe RUN: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min RUN: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" RUN: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe RUN: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe RUN: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime RUN: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k RUN: [EumexInst] "E:\Setup.exe" **** Browser Helper Objects **** BHO: [AcroIEHlprObj Class] C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll **** IE Toolbars **** TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx **** IE Extensions **** **** Hosts File Entries **** HOSTS: 127.0.0.1 localhost HOSTS: 127.0.0.1 localhost **** IE Settings **** IEProxy: http=surfproxy.freenet.de:8080 Default Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Local Page: C:\WINDOWS\System32\blank.htm Search Bar: res://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.dll/sp.html Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch **** IE Context Menu (Right click) **** IEContext: [Nach Microsoft &Excel exportieren] res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 **** Layered Service Providers **** LSP: MSAFD Irda [IrDA] LSP: MSAFD Tcpip [TCP/IP] LSP: MSAFD Tcpip [UDP/IP] LSP: RSVP UDP Service Provider LSP: RSVP TCP Service Provider LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1C62C0B7-0BD1-47C3-B92C-78790F65E7D4}] SEQPACKET 0 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1C62C0B7-0BD1-47C3-B92C-78790F65E7D4}] DATAGRAM 0 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2909470A-7F7F-4728-8BCD-92CAE37FB1E8}] SEQPACKET 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2909470A-7F7F-4728-8BCD-92CAE37FB1E8}] DATAGRAM 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{9D5750C9-A4C3-4A34-B5D8-4D16591635F0}] SEQPACKET 2 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{9D5750C9-A4C3-4A34-B5D8-4D16591635F0}] DATAGRAM 2 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{BF14C0D7-5064-4FBC-8826-E909F4A5F2EF}] SEQPACKET 3 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{BF14C0D7-5064-4FBC-8826-E909F4A5F2EF}] DATAGRAM 3 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CE071DD2-B41F-42E3-8CB3-76EDD237E5BF}] SEQPACKET 4 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CE071DD2-B41F-42E3-8CB3-76EDD237E5BF}] DATAGRAM 4 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1CA42EF7-F93F-4557-A218-217E5E4524B7}] SEQPACKET 5 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1CA42EF7-F93F-4557-A218-217E5E4524B7}] DATAGRAM 5 **** Blocked Control Panel Items **** BLOCKED: [ncpa.cpl] No BLOCKED: [odbccp32.cpl] No **** Downloaded Program Files **** DirectAnimation Java Classes [file://C:\WINDOWS\Java\classes\dajava.cab] Microsoft XML Parser for Java [file://C:\WINDOWS\Java\classes\xmldso.cab] **** Windows Services **** [Alerter] %SystemRoot%\System32\svchost.exe -k LocalService [ALG] %SystemRoot%\System32\alg.exe [AntiVirService] "C:\Programme\AVPersonal\AVGUARD.EXE" [AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs [AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs [AVWUpSrv] "C:\Programme\AVPersonal\AVWUPSRV.EXE" [BITS] %SystemRoot%\System32\svchost.exe -k netsvcs [Browser] %SystemRoot%\System32\svchost.exe -k netsvcs [CiSvc] %SystemRoot%\system32\cisvc.exe [ClipSrv] %SystemRoot%\system32\clipsrv.exe [COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} [CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs [Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs [dmadmin] %SystemRoot%\System32\dmadmin.exe /com [dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs [Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService [ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs [Eventlog] %SystemRoot%\system32\services.exe [EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs [FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs [helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs [HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs [ImapiService] C:\WINDOWS\System32\imapi.exe [Irmon] %SystemRoot%\System32\svchost.exe -k netsvcs [lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs [lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs [LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService [Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs [mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe [MSDTC] C:\WINDOWS\System32\msdtc.exe [MSIServer] C:\WINDOWS\System32\msiexec.exe /V [NetDDE] %SystemRoot%\system32\netdde.exe [NetDDEdsdm] %SystemRoot%\system32\netdde.exe [Netlogon] %SystemRoot%\System32\lsass.exe [Netman] %SystemRoot%\System32\svchost.exe -k netsvcs [Nla] %SystemRoot%\System32\svchost.exe -k netsvcs [NtLmSsp] %SystemRoot%\System32\lsass.exe [NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs [PlugPlay] %SystemRoot%\system32\services.exe [Pml Driver HPZ12] C:\WINDOWS\System32\HPZipm12.exe [PolicyAgent] %SystemRoot%\System32\lsass.exe [ProtectedStorage] %SystemRoot%\system32\lsass.exe [RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs [RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs [RDSessMgr] C:\WINDOWS\system32\sessmgr.exe [RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs [RpcLocator] %SystemRoot%\System32\locator.exe [RpcSs] %SystemRoot%\system32\svchost -k rpcss [RSVP] %SystemRoot%\System32\rsvp.exe [SamSs] %SystemRoot%\system32\lsass.exe [SCardDrv] %SystemRoot%\System32\SCardSvr.exe [SCardSvr] %SystemRoot%\System32\SCardSvr.exe [Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs [seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs [SENS] %SystemRoot%\system32\svchost.exe -k netsvcs [SharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs [ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs [Spooler] %SystemRoot%\system32\spoolsv.exe [srservice] %SystemRoot%\System32\svchost.exe -k netsvcs [SSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService [stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc [SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{918BEE8A-2EA7-4AF3-BD4A-09D054CE5E9E} [SysmonLog] %SystemRoot%\system32\smlogsvc.exe [TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs [TermService] %SystemRoot%\System32\svchost.exe -k netsvcs [Themes] %SystemRoot%\System32\svchost.exe -k netsvcs [TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs [UMWdf] C:\WINDOWS\System32\wdfmgr.exe [uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs [upnphost] %SystemRoot%\System32\svchost.exe -k LocalService [UPS] %SystemRoot%\System32\ups.exe [vsmon] C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service [VSS] %SystemRoot%\System32\vssvc.exe [W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs [WebClient] %SystemRoot%\System32\svchost.exe -k LocalService [winmgmt] %systemroot%\system32\svchost.exe -k netsvcs [WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs [WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe [wuauserv] %systemroot%\system32\svchost.exe -k netsvcs [WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs **** Custom IE Search Items **** SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm **** Complete IE Options **** IEOPT: [NoUpdateCheck] IEOPT: [NoJITSetup] IEOPT: [Disable Script Debugger] yes IEOPT: [Show_ChannelBand] No IEOPT: [Anchor Underline] yes IEOPT: [Cache_Update_Frequency] Once_Per_Session IEOPT: [Display Inline Images] yes IEOPT: [Do404Search] IEOPT: [Local Page] C:\WINDOWS\System32\blank.htm IEOPT: [Save_Session_History_On_Exit] no IEOPT: [Show_FullURL] no IEOPT: [Show_StatusBar] yes IEOPT: [Show_ToolBar] yes IEOPT: [Show_URLinStatusBar] yes IEOPT: [Show_URLToolBar] yes IEOPT: [Start Page] http://www.google.de/ IEOPT: [Use_DlgBox_Colors] yes IEOPT: [FullScreen] no IEOPT: [Window_Placement] , IEOPT: [NotifyDownloadComplete] yes IEOPT: [Force Offscreen Composition] IEOPT: [ShowGoButton] yes IEOPT: [NoWebJITSetup] IEOPT: [Friendly http errors] yes IEOPT: [FavIntelliMenus] no IEOPT: [NscSingleExpand] IEOPT: [SmoothScroll] IEOPT: [Page_Transitions] IEOPT: [Error Dlg Displayed On Every Error] no IEOPT: [AllowWindowReuse] IEOPT: [UseThemes] IEOPT: [Print_Background] no IEOPT: [Expand Alt Text] no IEOPT: [Move System Caret] no IEOPT: [Play_Animations] no IEOPT: [Enable AutoImageResize] no IEOPT: [Enable_MyPics_Hoverbar] yes IEOPT: [Show image placeholders] IEOPT: [Play_Background_Sounds] yes IEOPT: [Display Inline Videos] yes IEOPT: [Use FormSuggest] no IEOPT: [Use Search Asst] no IEOPT: [Toolbars_Placement] IEOPT: [Search Bar] res://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.dll/sp.html IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch IEOPT: [Enable_Disk_Cache] yes IEOPT: [Cache_Percent_of_Disk] IEOPT: [Delete_Temp_Files_On_Exit] yes IEOPT: [Local Page] %SystemRoot%\system32\blank.htm IEOPT: [Anchor_Visitation_Horizon] IEOPT: [Use_Async_DNS] yes IEOPT: [Placeholder_Width] IEOPT: [Placeholder_Height] IEOPT: [Start Page] about:blank IEOPT: [CompanyName] Microsoft Corporation IEOPT: [Custom_Key] MICROSO IEOPT: [Wizard_Version] 6.0.2600.0000 IEOPT: [FullScreen] no IEOPT: [Use Custom Search URL] IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Der Link für mcafee free scan funktionierte nicht Der Online scan von f-secure hat sich immer wieder festgefressen Hier der aktuelle HijackThis: Logfile of HijackThis v1.99.0 Scan saved at 19:11:34, on 07.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\LTSMMSG.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe C:\Programme\TELEDAT\WCOM\SYSTEM\ccsrv.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [EumexInst] "E:\Setup.exe" O4 - HKCU\..\RunOnce: [CommCenter] C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Dieser Beitrag wurde am 07.02.2005 um 19:26 Uhr von Sabina editiert.
|
|
|
|
|
|
|
07.02.2005, 19:37
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@Diddi1000
Gehe in die Registry Start<Ausfuehren< schreib rein: regedit Bearbeiten--> suchen-->sp.dll Navegiere zu  dort muesstest du den Eintrag finden)<Internetexplorer: <Main <[Search Bar] loesche mit rechtsklick: res://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.dll/sp.html schliesse die Registry #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) Sun JavaVM von http://www.java.com/en/download/installed.jsp http://java.com/en/download/windows_xpi.jsp (deinstallieren: MS JavaVM deinstalliert (Anleitung unter http://www.tweakxp.com/tweak1065.aspx) eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory • Beim Start von e-scan sollten folgende Optionen aktiviert sein:  -->und "Scan " klicken. Gehe wieder in den Normalmodus: mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein  jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.02.2005 um 19:42 Uhr von Sabina editiert.
|
|
|
|
|
|
|
08.02.2005, 11:11
Member
Themenstarter Beiträge: 22 |
#5
Zitat Sabina posteteDanke Sabina, nachfolgend die Ergebnisse. Wie bekomme ich jetzt die gefundenen Viren weg und wie kann ich mich in Zukunft vor dem Mist schütze? Ist mein Virenprogramm nicht gut (AVG), wird regelmässig upgedatet. Grüsse Sp.dll ist in der Registry nicht mehr zu finden. Hier die gefundenen Dateien mit escan: File C:\WINDOWS\System32\delaybuf.dll infected by "Trojan-Downloader.Win32.Small.agb" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\delaybuf.dll infected by "Trojan-Downloader.Win32.Small.agb" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\c.bat infected by "Trojan-Downloader.BAT.Ftp.b" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\msxblder.dll infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\scarapir.exe infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\wowecuiu.dll infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken. Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Scanning File C:\Programme\AVPersonal\INFECTED\2DIMENSIONOFEXPLOITSENC[1].HTM.VIR [**] File C:\Programme\AVPersonal\INFECTED\VBSYS2.DLL.VIR File C:\Programme\AVPersonal\INFECTED\VBSYS2.DLL.VIR infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken. File C:\WINDOWS\java\javainfo.exe infected by "Trojan-Downloader.Win32.Agent.ip" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\c.bat infected by "Trojan-Downloader.BAT.Ftp.b" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\msxblder.dll infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken File C:\WINDOWS\system32\scarapir.exe infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken File C:\WINDOWS\system32\wowecuiu.dll infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken. Folder: D:\datensicherung neuinst 241204\AVPersonal\INFECTED\*.* File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\iexplore.VIR File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\iexplore.VIR infected by "Backdoor.Win32.Wootbot.p" Virus. Action Taken: No Action Taken. File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\iexplore.VIR00 File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\iexplore.VIR00 infected by "Backdoor.Win32.Wootbot.p" Virus. Action Taken: No Action Taken. File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\iexplore.VIR01 File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\iexplore.VIR01 infected by "Backdoor.Win32.Wootbot.p" Virus. Action Taken: No Action Taken File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\iexplore.VIR02 File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\iexplore.VIR02 infected by "Backdoor.Win32.Wootbot.p" Virus. Action Taken: No Action Taken. File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\msmsgs.VIR File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\msmsgs.VIR infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken. File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\msmsgs.VIR00 File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\msmsgs.VIR00 infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken. File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\msmsgs.VIR01 D:\datensicherung neuinst 241204\AVPersonal\INFECTED\msmsgs.VIR01 infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken. File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\msmsgs.VIR02 File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\msmsgs.VIR02 infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken. File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\msmsgs.VIR03 ile D:\datensicherung neuinst 241204\AVPersonal\INFECTED\msmsgs.VIR03 infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken. File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\msmsgs.VIR04 File D:\datensicherung neuinst 241204\AVPersonal\INFECTED\msmsgs.VIR04 infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\java\javainfo.exe infected by "Trojan-Downloader.Win32.Agent.ip" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\c.bat infected by "Trojan-Downloader.BAT.Ftp.b" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\msxblder.dll infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\scarapir.exe infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\wowecuiu.dll infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken. Total Disinfected Files: 0 |
|
|
|
|
|
|
08.02.2005, 11:24
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@Diddi1000
KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" kopiere in die Killbox: C:\WINDOWS\java\javainfo.exe C:\WINDOWS\system32\c.bat C:\WINDOWS\system32\scarapir.exe C:\WINDOWS\system32\wowecuiu.dll C:\WINDOWS\system32\msxblder.dll C:\WINDOWS\System32\delaybuf.dll PC neustarten Start<Ausfuehren --> %temp% dort muesstest du eine kg.txt (oder so aehnlich-->txt -Datei finden , ist von der Killbox) Pote mir , was dort steht. und poste noch einmal das Scannlog vom CWShredder 2.12, bitte __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.02.2005 um 11:25 Uhr von Sabina editiert.
|
|
|
|
|
|
|
08.02.2005, 12:26
Member
Themenstarter Beiträge: 22 |
#7
Hier der Inhalt der kb.txt:
C:\WINDOWS\java\javainfo.exe Delete on Reboot C:\WINDOWS\system32\c.bat Delete on Reboot C:\WINDOWS\system32\scarapir.exe Delete on Reboot C:\WINDOWS\system32\wowecuiu.dll Delete on Reboot C:\WINDOWS\system32\msxblder.dll Delete on Reboot C:\WINDOWS\System32\delaybuf.dll Delete on Reboot C:\WINDOWS\java\javainfo.exe Delete on Reboot C:\WINDOWS\system32\c.bat Delete on Reboot C:\WINDOWS\system32\scarapir.exe Delete on Reboot C:\WINDOWS\system32\wowecuiu.dll Delete on Reboot C:\WINDOWS\system32\msxblder.dll Delete on Reboot C:\WINDOWS\System32\delaybuf.dll Delete on Reboot Hier der Report des CWShredders 2.12 **** Run Keys **** RUN: [SoundMan] SOUNDMAN.EXE RUN: [LTSMMSG] LTSMMSG.exe RUN: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min RUN: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" RUN: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe RUN: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe RUN: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime RUN: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k **** Browser Helper Objects **** BHO: [AcroIEHlprObj Class] C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll **** IE Toolbars **** TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx **** IE Extensions **** **** Hosts File Entries **** HOSTS: 127.0.0.1 localhost HOSTS: 127.0.0.1 localhost **** IE Settings **** Default Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Local Page: C:\WINDOWS\System32\blank.htm Search Bar: Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch **** IE Context Menu (Right click) **** IEContext: [Nach Microsoft &Excel exportieren] res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 **** Layered Service Providers **** LSP: MSAFD Irda [IrDA] LSP: MSAFD Tcpip [TCP/IP] LSP: MSAFD Tcpip [UDP/IP] LSP: RSVP UDP Service Provider LSP: RSVP TCP Service Provider LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1C62C0B7-0BD1-47C3-B92C-78790F65E7D4}] SEQPACKET 0 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1C62C0B7-0BD1-47C3-B92C-78790F65E7D4}] DATAGRAM 0 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2909470A-7F7F-4728-8BCD-92CAE37FB1E8}] SEQPACKET 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2909470A-7F7F-4728-8BCD-92CAE37FB1E8}] DATAGRAM 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{9D5750C9-A4C3-4A34-B5D8-4D16591635F0}] SEQPACKET 2 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{9D5750C9-A4C3-4A34-B5D8-4D16591635F0}] DATAGRAM 2 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{BF14C0D7-5064-4FBC-8826-E909F4A5F2EF}] SEQPACKET 3 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{BF14C0D7-5064-4FBC-8826-E909F4A5F2EF}] DATAGRAM 3 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CE071DD2-B41F-42E3-8CB3-76EDD237E5BF}] SEQPACKET 4 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CE071DD2-B41F-42E3-8CB3-76EDD237E5BF}] DATAGRAM 4 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1CA42EF7-F93F-4557-A218-217E5E4524B7}] SEQPACKET 5 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1CA42EF7-F93F-4557-A218-217E5E4524B7}] DATAGRAM 5 **** Blocked Control Panel Items **** BLOCKED: [ncpa.cpl] No BLOCKED: [odbccp32.cpl] No **** Downloaded Program Files **** DirectAnimation Java Classes [file://C:\WINDOWS\Java\classes\dajava.cab] Microsoft XML Parser for Java [file://C:\WINDOWS\Java\classes\xmldso.cab] {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} [http://support.f-secure.com/ols/fscax.cab] C:\WINDOWS\Downloaded Program Files\fscax.dll **** Windows Services **** [Alerter] %SystemRoot%\System32\svchost.exe -k LocalService [ALG] %SystemRoot%\System32\alg.exe [AntiVirService] "C:\Programme\AVPersonal\AVGUARD.EXE" [AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs [AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs [AVWUpSrv] "C:\Programme\AVPersonal\AVWUPSRV.EXE" [BITS] %SystemRoot%\System32\svchost.exe -k netsvcs [Browser] %SystemRoot%\System32\svchost.exe -k netsvcs [CiSvc] %SystemRoot%\system32\cisvc.exe [ClipSrv] %SystemRoot%\system32\clipsrv.exe [COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} [CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs [Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs [dmadmin] %SystemRoot%\System32\dmadmin.exe /com [dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs [Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService [ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs [Eventlog] %SystemRoot%\system32\services.exe [EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs [FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs [helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs [HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs [ImapiService] C:\WINDOWS\System32\imapi.exe [Irmon] %SystemRoot%\System32\svchost.exe -k netsvcs [lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs [lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs [LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService [Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs [mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe [MSDTC] C:\WINDOWS\System32\msdtc.exe [MSIServer] C:\WINDOWS\System32\msiexec.exe /V [NetDDE] %SystemRoot%\system32\netdde.exe [NetDDEdsdm] %SystemRoot%\system32\netdde.exe [Netlogon] %SystemRoot%\System32\lsass.exe [Netman] %SystemRoot%\System32\svchost.exe -k netsvcs [Nla] %SystemRoot%\System32\svchost.exe -k netsvcs [NtLmSsp] %SystemRoot%\System32\lsass.exe [NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs [PlugPlay] %SystemRoot%\system32\services.exe [Pml Driver HPZ12] C:\WINDOWS\System32\HPZipm12.exe [PolicyAgent] %SystemRoot%\System32\lsass.exe [ProtectedStorage] %SystemRoot%\system32\lsass.exe [RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs [RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs [RDSessMgr] C:\WINDOWS\system32\sessmgr.exe [RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs [RpcLocator] %SystemRoot%\System32\locator.exe [RpcSs] %SystemRoot%\system32\svchost -k rpcss [RSVP] %SystemRoot%\System32\rsvp.exe [SamSs] %SystemRoot%\system32\lsass.exe [SCardDrv] %SystemRoot%\System32\SCardSvr.exe [SCardSvr] %SystemRoot%\System32\SCardSvr.exe [Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs [seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs [SENS] %SystemRoot%\system32\svchost.exe -k netsvcs [SharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs [ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs [Spooler] %SystemRoot%\system32\spoolsv.exe [srservice] %SystemRoot%\System32\svchost.exe -k netsvcs [SSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService [stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc [SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{918BEE8A-2EA7-4AF3-BD4A-09D054CE5E9E} [SysmonLog] %SystemRoot%\system32\smlogsvc.exe [TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs [TermService] %SystemRoot%\System32\svchost.exe -k netsvcs [Themes] %SystemRoot%\System32\svchost.exe -k netsvcs [TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs [UMWdf] C:\WINDOWS\System32\wdfmgr.exe [uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs [upnphost] %SystemRoot%\System32\svchost.exe -k LocalService [UPS] %SystemRoot%\System32\ups.exe [vsmon] C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service [VSS] %SystemRoot%\System32\vssvc.exe [W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs [WebClient] %SystemRoot%\System32\svchost.exe -k LocalService [winmgmt] %systemroot%\system32\svchost.exe -k netsvcs [WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs [WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe [wuauserv] %systemroot%\system32\svchost.exe -k netsvcs [WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs **** Custom IE Search Items **** SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm **** Complete IE Options **** IEOPT: [NoUpdateCheck] IEOPT: [NoJITSetup] IEOPT: [Disable Script Debugger] yes IEOPT: [Show_ChannelBand] No IEOPT: [Anchor Underline] yes IEOPT: [Cache_Update_Frequency] Once_Per_Session IEOPT: [Display Inline Images] yes IEOPT: [Do404Search] IEOPT: [Local Page] C:\WINDOWS\System32\blank.htm IEOPT: [Save_Session_History_On_Exit] no IEOPT: [Show_FullURL] no IEOPT: [Show_StatusBar] yes IEOPT: [Show_ToolBar] yes IEOPT: [Show_URLinStatusBar] yes IEOPT: [Show_URLToolBar] yes IEOPT: [Start Page] http://www.google.de/ IEOPT: [Use_DlgBox_Colors] yes IEOPT: [FullScreen] no IEOPT: [Window_Placement] , IEOPT: [NotifyDownloadComplete] yes IEOPT: [Force Offscreen Composition] IEOPT: [ShowGoButton] yes IEOPT: [NoWebJITSetup] IEOPT: [Friendly http errors] yes IEOPT: [FavIntelliMenus] no IEOPT: [NscSingleExpand] IEOPT: [SmoothScroll] IEOPT: [Page_Transitions] IEOPT: [Error Dlg Displayed On Every Error] no IEOPT: [AllowWindowReuse] IEOPT: [UseThemes] IEOPT: [Print_Background] no IEOPT: [Expand Alt Text] no IEOPT: [Move System Caret] no IEOPT: [Play_Animations] no IEOPT: [Enable AutoImageResize] no IEOPT: [Enable_MyPics_Hoverbar] yes IEOPT: [Show image placeholders] IEOPT: [Play_Background_Sounds] yes IEOPT: [Display Inline Videos] yes IEOPT: [Use FormSuggest] no IEOPT: [Use Search Asst] no IEOPT: [Toolbars_Placement] IEOPT: [Search Bar] IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch IEOPT: [Enable_Disk_Cache] yes IEOPT: [Cache_Percent_of_Disk] IEOPT: [Delete_Temp_Files_On_Exit] yes IEOPT: [Local Page] %SystemRoot%\system32\blank.htm IEOPT: [Anchor_Visitation_Horizon] IEOPT: [Use_Async_DNS] yes IEOPT: [Placeholder_Width] IEOPT: [Placeholder_Height] IEOPT: [Start Page] about:blank IEOPT: [CompanyName] Microsoft Corporation IEOPT: [Custom_Key] MICROSO IEOPT: [Wizard_Version] 6.0.2600.0000 IEOPT: [FullScreen] no IEOPT: [Use Custom Search URL] IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch |
|
|
|
|
|
|
08.02.2005, 12:40
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@Diddi1000
Es ist alles sauber  Gute Arbeit Deinstalliere den Antivirus--> Lade ihn neu und konfiguriere Scanner + Guard, dass "alle" Dateien" gescannt werden und update jeden Tag. #Antivirus (free) http://www.free-av.de/ [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien Lade SP2--> also mache die WindowsUpdates #RegCleaner (Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung) http://www.chip.de/downloads/c_downloads_8830516.html Surfe nicht mehr mit dem IE #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.02.2005 um 12:43 Uhr von Sabina editiert.
|
|
|
|
|
|
|
08.02.2005, 14:01
Member
Themenstarter Beiträge: 22 |
||
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Meine Startseite lässt sich nicht ändern, steht about blank drin, öffnet sich aber immer eine dubiose Seite.
Beim Öffnen des Iexplorers findet mein Virenscanner immer den Trojaner sp.dll, kann ihn aber anscheinend nicht eliminieren. Die Datei erscheint immer beim Öffnen des Explorers im Ordner Temp, verschwindet aber alleine wenn die Startseite da ist.
Wer kann helfen???
Logfile of HijackThis v1.99.0
Scan saved at 11:23:15, on 06.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe
C:\Programme\TELEDAT\WCOM\SYSTEM\ccsrv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199.zip\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\frn_inss\frn_inss.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Messenger\msmsgs.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Internet\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=13020
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=13020
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Internet\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {9516B794-BB01-42CB-B297-D54C500211DE} - C:\WINDOWS\System32\nmih.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplScan] msc32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [EumexInst] "E:\Setup.exe"
O4 - HKLM\..\RunServices: [NvCplScan] msc32.exe
O4 - HKCU\..\Run: [NvCplScan] msc32.exe
O4 - HKCU\..\RunOnce: [CommCenter] C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O18 - Filter: text/html - {1B249552-57CD-4813-AFE1-D81896A89A0B} - C:\WINDOWS\System32\nmih.dll
O18 - Filter: text/plain - {1B249552-57CD-4813-AFE1-D81896A89A0B} - C:\WINDOWS\System32\nmih.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O21 - SSODL: MSTskMgr32 - {D227B9C0-924A-4C47-BE1C-CA13C2079D75} - C:\WINDOWS\System32\c_50rque.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe