Lefeat.dll1 + Probleme mit Internet Explorer PopUp Fenster

#1 hallo leute,
schlage mich seit Tagen mit Trojanern und Viren rum habe alles killen können
(glaube ich) bis auf TR/Lefeat.DLL1 schreibt sich immer wieder in C:\WINDOWS\LULCK.DLL ich bekomme das Ding nicht zu packen. Bin leider nicht so ein Crack in sachen PC. Hijackthis-Log habe ich hinbekommen. vielleicht kann mir jemand hilfe leisten. Danke schon einmal im vorraus.

Logfile of HijackThis v1.99.0
Scan saved at 17:19:50, on 08.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mfcdo.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\OleHost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Java\j2re1.4.2_05\bin\jucheck.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Programme\PhotoWise\quicklnk.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\OpenOffice.org1.1.2\program\soffice.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\netqz32.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\HiJackthisNeu\hijackthis_199\HijackThis.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\HiJackthisNeu\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6BB2CE94-CBE3-276E-9FBD-683911ECC178} - C:\WINDOWS\wincz32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [OleDevice] C:\WINDOWS\System32\OleHost.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [netqz32.exe] C:\WINDOWS\system32\netqz32.exe
O4 - HKLM\..\RunOnce: [mfcdo.exe] C:\WINDOWS\system32\mfcdo.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.1.2\program\quickstart.exe
O4 - Startup: QuickLink.lnk = C:\Programme\PhotoWise\quicklnk.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\wshbth.dll' missing
O16 - DPF: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} (OCXDownloadChecker Control) - http://geovision-japan.dipmap.com/cab/OCXChecker_6100.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094905171802
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {BF5E26B7-7087-4C2D-B0BA-0098F7CBED6B} (LiveX(5.4.0.0) Control) - http://168.253.18.250/cab/Live.cab
O16 - DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} (DownloadFile Control) - http://geovision-japan.dipmap.com/cab/DownloadFile_6100.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe
O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\system32\mfcem32.exe (file missing)

#2 Hallo@Eulen-Späher

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
So wird der Dienst deaktiviert:
Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " Workstation NetLogon Service" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
" Workstation NetLogon Service" beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

kopiere rein:

{6BB2CE94-CBE3-276E-9FBD-683911ECC178}

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

das gleiche machst du mit:

Workstation NetLogon Service


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {6BB2CE94-CBE3-276E-9FBD-683911ECC178} - C:\WINDOWS\wincz32.dll
O4 - HKLM\..\Run: [OleDevice] C:\WINDOWS\System32\OleHost.exe
O4 - HKLM\..\Run: [netqz32.exe] C:\WINDOWS\system32\netqz32.exe -->TR/Dldr.Agent.AP.3
O4 - HKLM\..\RunOnce: [mfcdo.exe] C:\WINDOWS\system32\mfcdo.exe
O16 - DPF: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} (OCXDownloadChecker Control) - http://geovision-japan.dipmap.com/cab/OCXChecker_6100.cab
O16 - DPF: {BF5E26B7-7087-4C2D-B0BA-0098F7CBED6B} (LiveX(5.4.0.0) Control) - http://168.253.18.250/cab/Live.cab
O16 - DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} (DownloadFile Control) - http://geovision-japan.dipmap.com/cab/DownloadFile_6100.cab
O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\system32\mfcem32.exe (file missing)

PC neustarten

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

kopiere rein:

C:\WINDOWS\LULCK.DLL
C:\WINDOWS\system32\mfcem32.exe
C:\WINDOWS\System32\OleHost.exe
C:\WINDOWS\wincz32.dll
C:\WINDOWS\system32\netqz32.exe
C:\WINDOWS\system32\mfcdo.exe

PC neustarten

eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

• Beim Start von e-scan sollten folgende Optionen aktiviert sein:


-->und "Scan " klicken.

Gehe wieder in den Normalmodus:

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

dann die infizierten Dateien loeschen

und poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#3 HI aehm ich hab auch mit dem Lefeat.dll1 zu kämpfen nud ich wollte eigendlich nich erst auch nochmal posten da ich mir eigentlich denke du hast solangsam die faxen dick immer das selbe zu posten

aber anscheinend is das bei jedem pc anders und ich hab angst was falsch zu mache

hier die Hijackthis logfile:
Logfile of HijackThis v1.99.0
Scan saved at 13:42:35, on 13.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Sitecom\Bluetooth Software\bin\by the way.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\criq.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\system32\msdrv.exe
C:\WINDOWS\system32\syshelp.exe
C:\WINDOWS\system32\cryg32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Hewlett-Packard\HP OfficeJet Series 700\Bin\HPOstr05.exe
C:\PROGRA~1\Sitecom\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Hewlett-Packard\HP OfficeJet Series 700\bin\HPOVDX05.EXE
C:\WINDOWS\system32\HMSystem.com
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Dokumente und Einstellungen\Nils & Tommy\Eigene Dateien\Hijack\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {908708BE-F6FE-44B2-B1E5-D54BD8779D62} - C:\WINDOWS\addzi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [MSysDrv] C:\WINDOWS\system32\msdrv.exe
O4 - HKLM\..\Run: [SYSTEM service helper] C:\WINDOWS\system32\syshelp.exe
O4 - HKLM\..\Run: [HMSystem] C:\WINDOWS\system32\HMStart.com
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Spiele\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [cryg32.exe] C:\WINDOWS\system32\cryg32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HP OfficeJet Start.lnk = C:\Programme\Hewlett-Packard\HP OfficeJet Series 700\Bin\HPOstr05.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Nils & Tommy\Eigene Dateien\Tom\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Nils & Tommy\Eigene Dateien\Tom\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9425.dll' missing
O16 - DPF: {372DC06F-87DD-48D7-BCED-A815965C0164} - http://www.traffichog.com/toolbar2/winalot32.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/3164e135add36b642719/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3313386-3121-4158-A4DD-C4D045E37C78}: NameServer = 195.50.140.252 145.253.2.174
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\by the way.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\criq.exe

#4 Hallo@Crazy_T

Dienste anzeigen:
License: Freeware/Getservices
Note: You must run this program as a user with Administrator privaleges.
->klicke auf "getservice.bat und poste, was im Editor erscheint.
http://www.bleepingcomputer.com/files/getservices.php
__________
MfG Sabina

rund um die PC-Sicherheit

#5 PsService v1.1 - local and remote services viewer/controller
Copyright (C) 2001-2003 Mark Russinovich
Sysinternals - www.sysinternals.com


SERVICE_NAME: �%AF夶À¨
(null)
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\criq.exe /s
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Remote Procedure Call (RPC) Helper
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

#6 Hallo@Crazy_T

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/

kopiere rein:

C:\WINDOWS\system32\HMStart.com

poste mir bitte das Ergebnis vom Scann
---------------------------------------

Deinstalliere den Antivirus free (voruebergehend)

Lade den Kaspersky und scanne unbedingt im abgesicherten Modus
#Testversion "Antivirus Personal 5.0"
http://www.computerbase.de/downloads/software/antivirensoftware/kaspersky_anti-virus/
Kaspersky-Antivirus-Final 5.0 [(Deutsch,10.062 KB, Windows)]

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivie

__________________________________________________________________________________________________________________________________
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000\Control]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000\Control]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\�%AF夶À¨]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\�%AF夶À¨\Security]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\�%AF夶À¨\Enum]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\�%AF夶À¨]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\�%AF夶À¨\Security]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\�%AF夶À¨\Enum]





#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: (no name) - {908708BE-F6FE-44B2-B1E5-D54BD8779D62} - C:\WINDOWS\addzi.dll
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [MSysDrv] C:\WINDOWS\system32\msdrv.exe-->TROJ_AGENT.KZ
O4 - HKLM\..\Run: [SYSTEM service helper] C:\WINDOWS\system32\syshelp.exe
O4 - HKLM\..\Run: [HMSystem] C:\WINDOWS\system32\HMStart.com
O4 - HKLM\..\Run: [cryg32.exe] C:\WINDOWS\system32\cryg32.exe-->Home Search Assistant
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe -->Backdoor
O16 - DPF: {372DC06F-87DD-48D7-BCED-A815965C0164} - http://www.traffichog.com/toolbar2/winalot32.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\criq.exe

Pc neustarten

KillBox
http://www.bleepingcomputer.com/files/killbox.php

<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

-->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process".

C:\WINDOWS\PcClient.dll
C:\WINDOWS\System32\gdien32.exe
C:\WINDOWS\System32\lmrtend.dll
C:\WINDOWS\System32\winalot32.dll
C:\WINDOWS\addzi.dll
C:\WINDOWS\criq.exe
C:\WINDOWS\system32\msdrv.exe
C:\WINDOWS\system32\syshelp.exe
C:\WINDOWS\system32\vpc32.exe
C:\WINDOWS\system32\cryg32.exe

PC neustarten-->in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)

Die Datei "fixme.reg" auf dem Desktop doppelklicken.

Start<Ausfuehren<%temp% (reinkopieren)

loesche alle temp-Dateien, die du findest-->Zum Beispiel :

C:\Dokumente und Einstellungen\Nils & Tommy\LOCALS~1\Temp\1.tmp

2.tmp
2DB.tmp
2.tmp.exe
2DB.tmp

usw., usw.....

scanne mit dem Kaspersky

Dann poste das neue Log vom HijackTHis und aktiviere die Wiederherstellung wieder
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Malware.

Service load:
0% 100%
File: HMStart.com
Status:
OK
Packers detected:
None

AntiVir
No viruses found (0.96 seconds taken)
Avast
No viruses found (1.59 seconds taken)
AVG Antivirus
No viruses found (1.52 seconds taken)
BitDefender
No viruses found (1.10 seconds taken)
ClamAV
No viruses found (1.71 seconds taken)
Dr.Web
No viruses found (1.02 seconds taken)
F-Prot Antivirus
No viruses found (0.12 seconds taken)
Fortinet
No viruses found (0.73 seconds taken)
Kaspersky Anti-Virus
No viruses found (1.10 seconds taken)
mks_vir
No viruses found (0.38 seconds taken)
NOD32
No viruses found (0.72 seconds taken)
Norman Virus Control
No viruses found (2.48 seconds taken)

Der Kaspersky will nen Lizenzschlüssel haben?

Das mit dem Fixme.reg versteh ich nicht, was soll ich mit der datei auf meinem desktop dan machen?


bei dem andren bin ich noch dabei

#8 die fixme.reg sollst du erstellen--> auf dem Desktop erstellen (wie erklaert), dann sollst du im abgesicherten Modus auf die reg.-Datei doppelklicken, damit sie der Registry beigefuegt wird.

So wird der Dienst (vom Hijacker erstellt) aus der Registry geloescht)
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Neue Log:

Logfile of HijackThis v1.99.0
Scan saved at 14:51:45, on 14.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sitecom\Bluetooth Software\bin\by the way.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\spiele\steam\steam.exe
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Hewlett-Packard\HP OfficeJet Series 700\Bin\HPOstr05.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\PROGRA~1\Sitecom\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Hewlett-Packard\HP OfficeJet Series 700\bin\HPOVDX05.EXE
C:\WINDOWS\System32\hpoipm07.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Nils & Tommy\Eigene Dateien\Hijack\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ppzme.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Spiele\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HP OfficeJet Start.lnk = C:\Programme\Hewlett-Packard\HP OfficeJet Series 700\Bin\HPOstr05.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Nils & Tommy\Eigene Dateien\Tom\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Nils & Tommy\Eigene Dateien\Tom\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9425.dll' missing
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/3164e135add36b642719/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3313386-3121-4158-A4DD-C4D045E37C78}: NameServer = 195.50.140.252 145.253.2.174
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\by the way.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#10 Crazy_T

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

kopiere rein:

[Microsoft Update] vpc32.exe

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

[Microsoft Update]

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

�%AF夶À¨

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Remote Procedure Call (RPC) Helper

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ppzme.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

PC neustarten

Loesche:
C:\WINDOWS\ppzme.dll
C:\WINDOWS\System32\vpc32.exe

eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

was infected ist, musst du dann manuell oder mit der Killbox loeschen)

(und lade SP2 -->WindowsUpdates)
__________
MfG Sabina

rund um die PC-Sicherheit

#11 [Microsoft Update] vpc32.exe

Search Completed in 24 seconds.

No instances of "[Microsoft Update] vpc32.exe" found.

[Microsoft Update]

Das selbe in 23 seconds

�%AF夶À¨

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "%AF夶À¨" 14.02.2005 15:47:39

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000]
"Service"="�%AF夶À¨"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000]
"Service"="�%AF夶À¨"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000]
"Service"="�%AF夶À¨"



Remote Procedure Call (RPC) Helper

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Remote Procedure Call (RPC) Helper" 14.02.2005 15:49:07

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000]
"DeviceDesc"="Remote Procedure Call (RPC) Helper"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000]
"DeviceDesc"="Remote Procedure Call (RPC) Helper"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000]
"DeviceDesc"="Remote Procedure Call (RPC) Helper"

#12 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ppzme.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

PC neustarten

Loesche:
C:\WINDOWS\ppzme.dll
C:\WINDOWS\System32\vpc32.exe

eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

was infected ist, musst du dann manuell oder mit der Killbox loeschen)

(und lade SP2 -->WindowsUpdates)
__________
MfG Sabina

rund um die PC-Sicherheit

#13 eSan bringt nix als infected raus.

mein aktuelle Hijack:

Logfile of HijackThis v1.99.0
Scan saved at 19:54:51, on 14.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sitecom\Bluetooth Software\bin\by the way.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\spiele\steam\steam.exe
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Hewlett-Packard\HP OfficeJet Series 700\Bin\HPOstr05.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Hewlett-Packard\HP OfficeJet Series 700\bin\HPOVDX05.EXE
C:\WINDOWS\System32\hpoipm07.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Dokumente und Einstellungen\Nils & Tommy\Eigene Dateien\Tom\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Nils & Tommy\Eigene Dateien\Hijack\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Dokumente und Einstellungen\Nils & Tommy\Eigene Dateien\Tom\ICQLite\ICQLite.exe -trayboot
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HP OfficeJet Start.lnk = C:\Programme\Hewlett-Packard\HP OfficeJet Series 700\Bin\HPOstr05.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Nils & Tommy\Eigene Dateien\Tom\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Nils & Tommy\Eigene Dateien\Tom\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9425.dll' missing
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/3164e135add36b642719/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3313386-3121-4158-A4DD-C4D045E37C78}: NameServer = 195.50.140.252 145.253.2.174
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\by the way.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

bin ich clean?

#14 Crazy_T

<geh in den abgesicherten Modus (unbedingt) und mache noch einmal einen Komplettscann mit dem Kaspersky

<dann berichte, ob noch was geloescht wurde.

danach:

#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp

#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php

#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

First time users should start by checking their Windows File Sharing and Common Ports vulnerabilities with the "File Sharing" and "Common Ports" buttons below.
http://www.firewallleaktester.com/wwdc.htm

schreibe mir, welche Ports der Backdoor geoeffnet hat (also rot, also open gekennzeichnet)

dann berichte + poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit