smart security +Backdoor.Win32.Haxdoor

#0
21.03.2005, 15:47
...neu hier

Beiträge: 1
#1 ich habe folgendes problem.
beim surfen im internet ist irgendiwe ein bild auf meinem pc und zwar als desktop hintergrund!
der bildschirm ist rot und in der mitte eine warnung Danger Spyware mit einem link der mich auf diese seite fuehrt http://www.smart-security.info/?affid=27
und das bekomme ich nicht weg habe auch schon alles probiert aber nichts.
und noch was auf dem desktop funktioniet auch nicht der rechtsklick von der maus. hier noch das logfile hijackthis
Bitte um hilfe weis nicht mehr weiter vielen Dank im voraus

Logfile of HijackThis v1.99.1
Scan saved at 4:28:01 ìì, on 21/3/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WFXSVC.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\WinFax\WFXMOD32.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\mfcng32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\PROGRA~1\WinFax\WFXSWTCH.exe
C:\WINDOWS\System32\wfxsnt40.exe
C:\WINDOWS\System32\ntddetect.exe
C:\WINDOWS\System32\Sbe.exe
C:\WINDOWS\mfcmc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SpeedTouch\Dr SpeedTouch\drst.exe
C:\Documents and Settings\Nikos\Application Data\uote.exe
C:\WINDOWS\System32\rõndll.exe
C:\Program Files\Trillian\trillian.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ÓõíäÝóåéò
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {8DFA205E-18F5-B63D-E0A9-846F83DE2040} - C:\WINDOWS\apiuc32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Ñáäéüöùíï - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKLM\..\Run: [Bdl] C:\WINDOWS\System32\Sbe.exe
O4 - HKLM\..\Run: [Phh] C:\WINDOWS\System32\Pls.exe
O4 - HKLM\..\Run: [Clq] C:\WINDOWS\System32\Hvo.exe
O4 - HKLM\..\Run: [Dns] C:\WINDOWS\System32\Qsu.exe
O4 - HKLM\..\Run: [Alb] C:\WINDOWS\System32\Lpa.exe
O4 - HKLM\..\Run: [Nrn] C:\WINDOWS\System32\Cvt.exe
O4 - HKLM\..\Run: [Vqq] C:\WINDOWS\System32\Dmk.exe
O4 - HKLM\..\Run: [Ijv] C:\WINDOWS\System32\Bsv.exe
O4 - HKLM\..\Run: [Fjr] C:\WINDOWS\System32\Jrh.exe
O4 - HKLM\..\Run: [Prl] C:\WINDOWS\System32\Mht.exe
O4 - HKLM\..\Run: [Kgo] C:\WINDOWS\System32\Nti.exe
O4 - HKLM\..\Run: [Jqc] C:\WINDOWS\System32\Ovu.exe
O4 - HKLM\..\Run: [Lsm] C:\WINDOWS\System32\Ntj.exe
O4 - HKLM\..\Run: [Nld] C:\WINDOWS\System32\Fcl.exe
O4 - HKLM\..\Run: [Fmu] C:\WINDOWS\System32\Eju.exe
O4 - HKLM\..\Run: [Gtt] C:\WINDOWS\System32\Stb.exe
O4 - HKLM\..\Run: [mfcmc.exe] C:\WINDOWS\mfcmc.exe
O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKLM\..\RunOnce: [mfcng32.exe] C:\WINDOWS\mfcng32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STManager] "C:\Program Files\SpeedTouch\Dr SpeedTouch\drst.exe" -b
O4 - HKCU\..\Run: [Deos] C:\Documents and Settings\Nikos\Application Data\uote.exe
O4 - HKCU\..\Run: [Lokebt] C:\WINDOWS\System32\rõndll.exe
O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKCU\..\Run: [Bdl] C:\WINDOWS\System32\Sbe.exe
O4 - HKCU\..\Run: [Phh] C:\WINDOWS\System32\Pls.exe
O4 - HKCU\..\Run: [Clq] C:\WINDOWS\System32\Hvo.exe
O4 - HKCU\..\Run: [Dns] C:\WINDOWS\System32\Qsu.exe
O4 - HKCU\..\Run: [Alb] C:\WINDOWS\System32\Lpa.exe
O4 - HKCU\..\Run: [Nrn] C:\WINDOWS\System32\Cvt.exe
O4 - HKCU\..\Run: [Vqq] C:\WINDOWS\System32\Dmk.exe
O4 - HKCU\..\Run: [Ijv] C:\WINDOWS\System32\Bsv.exe
O4 - HKCU\..\Run: [Fjr] C:\WINDOWS\System32\Jrh.exe
O4 - HKCU\..\Run: [Prl] C:\WINDOWS\System32\Mht.exe
O4 - HKCU\..\Run: [Kgo] C:\WINDOWS\System32\Nti.exe
O4 - HKCU\..\Run: [Jqc] C:\WINDOWS\System32\Ovu.exe
O4 - HKCU\..\Run: [Lsm] C:\WINDOWS\System32\Ntj.exe
O4 - HKCU\..\Run: [Nld] C:\WINDOWS\System32\Fcl.exe
O4 - HKCU\..\Run: [Fmu] C:\WINDOWS\System32\Eju.exe
O4 - HKCU\..\Run: [Gtt] C:\WINDOWS\System32\Stb.exe
O4 - Startup: Trillian.lnk = C:\Program Files\Trillian\trillian.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted IP range: 213.159.117.202
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c283.cab
O16 - DPF: {B69F2A9C-E470-11D3-AFA3-525400DB7692} (Actimage Room Control) - http://lopes.armstrong.com/ib/databases/actimage40803.cab
O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\System32\catsrvut.dll
O20 - Winlogon Notify: draw32 - C:\WINDOWS\SYSTEM32\draw32.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\systk32.exe" /s (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\System32\WFXSVC.EXE




[/b]
Seitenanfang Seitenende
24.03.2005, 19:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@niknok

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

Gehe in die REGISTRY (Start--> Ausfuehren--> regedit)

HKLM\SYSTEM\CurrentControlSet\Services\memlow\<--mit rechtsklick loeschen
HKLM\SYSTEM\CurrentControlSet\Services\vdnt32\<--mit rechtsklick loeschen


•Download Registry Search Tool :

http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren
Doppelklick:regsrch.vbs

reinkopieren:

ÓõíäÝóåéò

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

11Fßä#·ºÄÖ`I

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ÓõíäÝóåéò
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {8DFA205E-18F5-B63D-E0A9-846F83DE2040} - C:\WINDOWS\apiuc32.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKLM\..\Run: [Bdl] C:\WINDOWS\System32\Sbe.exe
O4 - HKLM\..\Run: [Phh] C:\WINDOWS\System32\Pls.exe
O4 - HKLM\..\Run: [Clq] C:\WINDOWS\System32\Hvo.exe
O4 - HKLM\..\Run: [Dns] C:\WINDOWS\System32\Qsu.exe
O4 - HKLM\..\Run: [Alb] C:\WINDOWS\System32\Lpa.exe
O4 - HKLM\..\Run: [Nrn] C:\WINDOWS\System32\Cvt.exe
O4 - HKLM\..\Run: [Vqq] C:\WINDOWS\System32\Dmk.exe
O4 - HKLM\..\Run: [Ijv] C:\WINDOWS\System32\Bsv.exe
O4 - HKLM\..\Run: [Fjr] C:\WINDOWS\System32\Jrh.exe
O4 - HKLM\..\Run: [Prl] C:\WINDOWS\System32\Mht.exe
O4 - HKLM\..\Run: [Kgo] C:\WINDOWS\System32\Nti.exe
O4 - HKLM\..\Run: [Jqc] C:\WINDOWS\System32\Ovu.exe
O4 - HKLM\..\Run: [Lsm] C:\WINDOWS\System32\Ntj.exe
O4 - HKLM\..\Run: [Nld] C:\WINDOWS\System32\Fcl.exe
O4 - HKLM\..\Run: [Fmu] C:\WINDOWS\System32\Eju.exe
O4 - HKLM\..\Run: [Gtt] C:\WINDOWS\System32\Stb.exe
O4 - HKLM\..\Run: [mfcmc.exe] C:\WINDOWS\mfcmc.exe
O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKLM\..\RunOnce: [mfcng32.exe] C:\WINDOWS\mfcng32.exe
O4 - HKCU\..\Run: [STManager] "C:\Program Files\SpeedTouch\Dr SpeedTouch\drst.exe" -b
O4 - HKCU\..\Run: [Deos] C:\Documents and Settings\Nikos\Application Data\uote.exe
O4 - HKCU\..\Run: [Lokebt] C:\WINDOWS\System32\rõndll.exe
O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKCU\..\Run: [Bdl] C:\WINDOWS\System32\Sbe.exe
O4 - HKCU\..\Run: [Phh] C:\WINDOWS\System32\Pls.exe
O4 - HKCU\..\Run: [Clq] C:\WINDOWS\System32\Hvo.exe
O4 - HKCU\..\Run: [Dns] C:\WINDOWS\System32\Qsu.exe
O4 - HKCU\..\Run: [Alb] C:\WINDOWS\System32\Lpa.exe
O4 - HKCU\..\Run: [Nrn] C:\WINDOWS\System32\Cvt.exe
O4 - HKCU\..\Run: [Vqq] C:\WINDOWS\System32\Dmk.exe
O4 - HKCU\..\Run: [Ijv] C:\WINDOWS\System32\Bsv.exe
O4 - HKCU\..\Run: [Fjr] C:\WINDOWS\System32\Jrh.exe
O4 - HKCU\..\Run: [Prl] C:\WINDOWS\System32\Mht.exe
O4 - HKCU\..\Run: [Kgo] C:\WINDOWS\System32\Nti.exe
O4 - HKCU\..\Run: [Jqc] C:\WINDOWS\System32\Ovu.exe
O4 - HKCU\..\Run: [Lsm] C:\WINDOWS\System32\Ntj.exe
O4 - HKCU\..\Run: [Nld] C:\WINDOWS\System32\Fcl.exe
O4 - HKCU\..\Run: [Fmu] C:\WINDOWS\System32\Eju.exe
O4 - HKCU\..\Run: [Gtt] C:\WINDOWS\System32\Stb.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c283.cab
O16 - DPF: {B69F2A9C-E470-11D3-AFA3-525400DB7692} (Actimage Room Control) - http://lopes.armstrong.com/ib/databases/actimage40803.cab
O20 - Winlogon Notify: draw32 - C:\WINDOWS\SYSTEM32\draw32.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\systk32.exe" /s (file missing)

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\mfcng32.exe
C:\WINDOWS\System32\mszx23.exe
C:\WINDOWS\System32\drct16.dll
C:\WINDOWS\System32\p2.ini
C:\WINDOWS\System32\klo5.sys
C:\WINDOWS\System32\vdnt32.sys
C:\WINDOWS\System32\klogini.dll
C:\WINDOWS\System32\i.a3d
C:\WINDOWS\System32\fltr.a3d
C:\WINDOWS\System32\redir.a3d
C:\WINDOWS\SYSTEM32\draw32.dll
C:\WINDOWS\systk32.exe
C:\WINDOWS\system32\xhgqj.dll
C:\WINDOWS\apiuc32.dll
C:\WINDOWS\System32\ntddetect.exe
C:\WINDOWS\System32\Sbe.exe
C:\WINDOWS\System32\Pls.exe
C:\WINDOWS\System32\Hvo.exe
C:\WINDOWS\System32\Qsu.exe
C:\WINDOWS\System32\Lpa.exe
C:\WINDOWS\System32\Cvt.exe
C:\WINDOWS\System32\Dmk.exe
C:\WINDOWS\System32\Bsv.exe
C:\WINDOWS\System32\Jrh.exe
C:\WINDOWS\System32\Mht.exe
C:\WINDOWS\System32\Nti.exe
C:\WINDOWS\System32\Ovu.exe
C:\WINDOWS\System32\Ntj.exe
C:\WINDOWS\System32\Fcl.exe
C:\WINDOWS\System32\Eju.exe
C:\WINDOWS\System32\Stb.exe
C:\WINDOWS\mfcmc.exe
C:\WINDOWS\System32\ntddetect.exe
C:\WINDOWS\mfcng32.exe
C:\Documents and Settings\Nikos\Application Data\uote.exe
C:\WINDOWS\System32\rõndll.exe
C:\WINDOWS\System32\ntddetect.exe
C:\WINDOWS\System32\Sbe.exe
C:\WINDOWS\System32\Pls.exe
C:\WINDOWS\System32\Hvo.exe
C:\WINDOWS\System32\Qsu.exe
C:\WINDOWS\System32\Lpa.exe
C:\WINDOWS\System32\Cvt.exe
C:\WINDOWS\System32\Dmk.exe
C:\WINDOWS\System32\Bsv.exe
C:\WINDOWS\System32\Jrh.exe
C:\WINDOWS\System32\Mht.exe
C:\WINDOWS\System32\Nti.exe
C:\WINDOWS\System32\Ovu.exe
C:\WINDOWS\System32\Ntj.exe
C:\WINDOWS\System32\Fcl.exe
C:\WINDOWS\System32\Eju.exe
C:\WINDOWS\System32\Stb.exe

PC neustarten

•L2mfix
Laden Sie L2mfix von hier herunter:
http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe

• Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.

• Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.

• Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix

• Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1[/] und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.

• Kopieren Sie den Inhalt (oder einfach mit der Maus abkopieren)
oder:
durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V.

WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

• Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> Enter[].

• Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.

• Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.

• L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread rein (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log.

WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

• Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].

• Dies stellt die Winlogon Standardeinstellungen wieder her.

• Posten Sie ein aktuelles HijackThis Log

Onlinescanns
http://security.symantec.com/default.asp?
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/
http://www.ravantivirus.com/scan/
http://www3.ca.com/virusinfo/
http://www.bitdefender.com/scan/licence.php
http://www.commandondemand.com/eval/index.cfm
http://www.freedom.net/viruscenter/...viruscheck.html
http://info.ahnlab.com/english/
http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp


•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.04.2005, 10:30
Member

Beiträge: 11
#3 Hallo!
Habe das gleiche Problem und habe auch schon versucht eurer Anleitung zu folgen, allerdings stimmten bei mir schon die registry-einträge nicht mehr überein.Da ich mir das System nicht kaputt machen wollte, frage ich jetzt noch mal genau nach.
Habe hier noch das logfile hijackthis. Vielen Dank schon mal im vorraus.

Havoc

Logfile:Logfile of HijackThis v1.99.1
Scan saved at 10:27:42, on 08.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\wavplay.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\DOKUME~1\KRGER~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Floppy Master] C:\WINDOWS\wavplay.exe
O4 - HKCU\..\Run: [Stv] C:\WINDOWS\system32\Afj.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.vxiframe.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.vxiframe.biz (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 66.197.161.149
O15 - Trusted IP range: 66.197.161.149 (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{156DEE79-A483-42AD-9A5F-65E7C226B62F}: NameServer = 217.237.150.225 217.237.150.141
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
Seitenanfang Seitenende
08.04.2005, 12:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@Havoc

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKCU\..\Run: [Floppy Master] C:\WINDOWS\wavplay.exe
O4 - HKCU\..\Run: [Stv] C:\WINDOWS\system32\Afj.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.vxiframe.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.vxiframe.biz (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 66.197.161.149
O15 - Trusted IP range: 66.197.161.149 (HKLM)

O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe

PC neustarten

Suchen--> rechteklick-->Eigenschaften+ Erstellungsdatum (poste mir die Daten)
C:\WINDOWS\system32\Service.exe
C:\WINDOWS\system32\Afj.exe
C:\WINDOWS\wavplay.exe

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\Service.exe
C:\WINDOWS\system32\Afj.exe
C:\WINDOWS\wavplay.exe

PC neustarten

•Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
-----------------------------------------------------------------------------------------

•Online-Scann (Panda)
--> berichte vom Scann
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

backdoor.haxdoor.d-Entferner
http://bilder.informationsarchiv.net/Nikitas_Tools/HSFix.zip
1. Extract the folder to C:\
2. So now you have a folder C:\HSFIX
3. Boot to Safe mode
4. open the hsfix folder and Double click on hsfix.bat
5. You'll lose your desktop and taskbar. That's normal because This process kills explorer
6. Double click on hsfix.bat to run it again
7. reboot
8. Find this file :- C:\hslog.txt
9. Post its contents into your next reply
10. post a new hijackthis log

•Download: StartDreck
http://www.greyknight17.com/spy/StartDreck.zip
Unzip to its own folder and start the program:
Press 'Config'
Press 'mark all'
Press 'OK'
Press 'Save' and select the location to save the log file (default is the same folder as the application)
Press 'Save' and select the location to save the log file (default is the same folder as the application)
http://bilder.informationsarchiv.net/Nikitas_Tools/StartDreck.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.04.2005, 14:48
Member

Beiträge: 11
#5 Hi, hier ist der Teil der geforderten logdateien aus MWAV.
Danke Im vorraus

Havoc

Fri Apr 08 12:50:16 2005 => File C:\WINDOWS\Bgo.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken.

Fri Apr 08 12:50:16 2005 => File C:\WINDOWS\desktop.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken.

Fri Apr 08 12:50:16 2005 => File C:\WINDOWS\Dnn.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken.

Fri Apr 08 12:50:19 2005 => File C:\WINDOWS\popup.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken.

Fri Apr 08 12:50:59 2005 => File C:\WINDOWS\system32\init32m.exe infected by "Trojan-Downloader.Win32.Agent.ho" Virus. Action Taken: No Action Taken.

Fri Apr 08 12:51:58 2005 => File C:\WINDOWS\system32\vxgame3.exe infected by "Trojan-Downloader.Win32.Agent.ho" Virus. Action Taken: No Action Taken.

Fri Apr 08 12:51:58 2005 => File C:\WINDOWS\system32\vxh8jkdq6.exe infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken.

Fri Apr 08 12:51:58 2005 => File C:\WINDOWS\system32\vxh8jkdq7.exe infected by "Trojan-Downloader.Win32.Small.aqu" Virus. Action Taken: No Action Taken.

Fri Apr 08 12:52:10 2005 => File C:\DOKUME~1\KRGER~1\LOKALE~1\Temp\1.qtdfmp infected by "Trojan-Downloader.Win32.Small.hx" Virus. Action Taken: No Action Taken.

Fri Apr 08 12:52:10 2005 => File C:\DOKUME~1\KRGER~1\LOKALE~1\Temp\6.qtdfmp infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken.

Fri Apr 08 12:52:10 2005 => File C:\DOKUME~1\KRGER~1\LOKALE~1\Temp\7.qtdfmp infected by "Trojan-Downloader.Win32.Small.aqu" Virus. Action Taken: No Action Taken.

Fri Apr 08 12:52:48 2005 => File C:\DOKUME~1\KRGER~1\LOKALE~1\Temp\vx2.game infected by "Trojan-Downloader.Win32.Small.api" Virus. Action Taken: No Action Taken.

Fri Apr 08 12:52:48 2005 => File C:\DOKUME~1\KRGER~1\LOKALE~1\Temp\vx3.game infected by "Trojan-Downloader.Win32.Agent.ho" Virus. Action Taken: No Action Taken.

Fri Apr 08 12:59:07 2005 => File C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\1.qtdfmp infected by "Trojan-Downloader.Win32.Small.hx" Virus. Action Taken: No Action Taken.

Fri Apr 08 12:59:08 2005 => File C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\6.qtdfmp infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken.

Fri Apr 08 12:59:08 2005 => File C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\7.qtdfmp infected by "Trojan-Downloader.Win32.Small.aqu" Virus. Action Taken: No Action Taken.

Fri Apr 08 12:59:53 2005 => File C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\vx2.game infected by "Trojan-Downloader.Win32.Small.api" Virus. Action Taken: No Action Taken.

Fri Apr 08 12:59:53 2005 => File C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\vx3.game infected by "Trojan-Downloader.Win32.Agent.ho" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:20:18 2005 => File C:\System Volume Information\_restore{B2482471-DF35-4094-86D3-41D285BA1DE9}\RP26\A0005448.exe infected by "Trojan-Downloader.Win32.Small.oc" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:20:19 2005 => File C:\System Volume Information\_restore{B2482471-DF35-4094-86D3-41D285BA1DE9}\RP26\A0005472.exe infected by "Trojan-Downloader.Win32.Small.oc" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:22:20 2005 => File C:\Windows\Bgo.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:22:27 2005 => File C:\Windows\desktop.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:22:27 2005 => File C:\Windows\Dnn.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:37:33 2005 => File C:\Windows\popup.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:39:47 2005 => File C:\Windows\system32\init32m.exe infected by "Trojan-Downloader.Win32.Agent.ho" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:41:15 2005 => File C:\Windows\system32\vxgame3.exe infected by "Trojan-Downloader.Win32.Agent.ho" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:41:15 2005 => File C:\Windows\system32\vxh8jkdq6.exe infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:41:15 2005 => File C:\Windows\system32\vxh8jkdq7.exe infected by "Trojan-Downloader.Win32.Small.aqu" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:54:21 2005 => File D:\Daten alt\C\WINDOWS\Downloaded Program Files\MirarSetup.exe infected by "not-a-virus:AdWare.SaveNow.bj" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:56:15 2005 => File D:\Daten alt\C\WINDOWS\Startmenü\Programme\Autostart\netdb.exe infected by "Trojan-Downloader.Win32.Small.oc" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:57:31 2005 => File D:\Daten alt\C\WINDOWS\SYSTEM\netdc.exe infected by "Trojan-Downloader.Win32.Small.oc" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:57:54 2005 => File D:\Daten alt\C\WINDOWS\SYSTEM\WinNB57.dll infected by "not-a-virus:AdWare.NetNucleus" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:58:18 2005 => File D:\Daten alt\C\WINDOWS\TEMP\loaderdobavka.exe infected by "Trojan-Downloader.Win32.Small.amq" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:58:18 2005 => File D:\Daten alt\C\WINDOWS\TEMP\MirarSetup.exe infected by "not-a-virus:AdWare.SaveNow.bj" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:59:53 2005 => File C:\WINDOWS\Bgo.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:59:59 2005 => File C:\WINDOWS\desktop.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken.

Fri Apr 08 13:59:59 2005 => File C:\WINDOWS\Dnn.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken.

Fri Apr 08 14:15:07 2005 => File C:\WINDOWS\popup.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken.

Fri Apr 08 14:17:18 2005 => File C:\WINDOWS\system32\init32m.exe infected by "Trojan-Downloader.Win32.Agent.ho" Virus. Action Taken: No Action Taken.

Fri Apr 08 14:18:47 2005 => File C:\WINDOWS\system32\vxgame3.exe infected by "Trojan-Downloader.Win32.Agent.ho" Virus. Action Taken: No Action Taken.

Fri Apr 08 14:18:47 2005 => File C:\WINDOWS\system32\vxh8jkdq6.exe infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken.

Fri Apr 08 14:18:47 2005 => File C:\WINDOWS\system32\vxh8jkdq7.exe infected by "Trojan-Downloader.Win32.Small.aqu" Virus. Action Taken: No Action Taken.

Fri Apr 08 14:19:20 2005 => ***** Checking for specific ITW Viruses *****
Fri Apr 08 14:19:20 2005 => Checking for Welchia Virus...
Fri Apr 08 14:19:20 2005 => Checking for LovGate Virus...
Fri Apr 08 14:19:20 2005 => Checking for CodeRed Virus...
Fri Apr 08 14:19:20 2005 => Checking for OpaServ Virus...
Fri Apr 08 14:19:20 2005 => Checking for Sobig.e Virus...
Fri Apr 08 14:19:20 2005 => Checking for Winupie Virus...
Fri Apr 08 14:19:20 2005 => Checking for Swen Virus...
Fri Apr 08 14:19:20 2005 => Checking for JS.Fortnight Virus...
Fri Apr 08 14:19:20 2005 => Checking for Novarg Virus...
Fri Apr 08 14:19:20 2005 => Checking for Pagabot Virus...
Fri Apr 08 14:19:20 2005 => Checking for Parite.b Virus...
Fri Apr 08 14:19:20 2005 => Checking for Parite.a Virus...

Fri Apr 08 14:19:20 2005 => ***** Scanning complete. *****

Fri Apr 08 14:19:20 2005 => Total Objects Scanned: 71500
Fri Apr 08 14:19:20 2005 => Total Virus(es) Found: 43
Fri Apr 08 14:19:20 2005 => Total Disinfected Files: 0
Fri Apr 08 14:19:20 2005 => Total Files Renamed: 0
Fri Apr 08 14:19:20 2005 => Total Deleted Objects: 0
Fri Apr 08 14:19:20 2005 => Total Errors: 7
Fri Apr 08 14:19:20 2005 => Time Elapsed: 01:29:48
Fri Apr 08 14:19:20 2005 => Virus Database Date: 2005/04/07
Fri Apr 08 14:19:20 2005 => Virus Database Count: 125034

Fri Apr 08 14:19:20 2005 => Scan Completed.





Hier sind die Loag-Dateien von
1. backdoor:
Ich konnte die Schritte 5-7 aus unerfindlichen gründen nicht ausführen.

hier die logdatei, die er mir sofort angezeigt hat:
Horseserver Removal Tool v1.05
by Atri
-
-
1. Registry Fix Started
-
Registry fix complete
-
2. Deleted Services
-
-
3. Finding files Located on system
-
-
4. Deleting files that were found.
-
-
5. Checking for and Removing Winupdate
-
-
-

und hier die text-Datei, die im Ordner lag:
DSMANA~1.DLL

und außerdem die hijackthis-Log

Logfile of HijackThis v1.99.1
Scan saved at 14:58:31, on 08.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\DOKUME~1\KRGER~1\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis_199.zip\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe



Vielen Dank im vorraus

Havoc


PS: Als ich mir Panda von genannter Adresse runterladen wollte, hat mein Antivirenprogramm (Antivir) eine Trojanerwahrnung über die datei ausgespuckt!!!!
Dieser Beitrag wurde am 08.04.2005 um 15:30 Uhr von Havoc editiert.
Seitenanfang Seitenende
08.04.2005, 16:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@Havoc


Loesche mit der Killbox:


--------------------------------------------------------------------------------------------------------------------------------------------------

C:\System Volume Information\_restore{B2482471-DF35-4094-86D3-41D285BA1DE9}\RP26\A0005448.exe
C:\System Volume Information\_restore{B2482471-DF35-4094-86D3-41D285BA1DE9}\RP26\A0005472.exe
C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\1.qtdfmp
C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\6.qtdfmp
C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\7.qtdfmp
C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\vx2.game
C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\vx3.game
C:\WINDOWS\Bgo.html
C:\WINDOWS\desktop.html
C:\WINDOWS\Dnn.html
C:\WINDOWS\popup.html
C:\WINDOWS\system32\init32m.exe
C:\WINDOWS\system32\vxgame3.exe
C:\WINDOWS\system32\vxh8jkdq6.exe
C:\WINDOWS\system32\vxh8jkdq7.exe
D:\Daten alt\C\WINDOWS\Downloaded Program Files\MirarSetup.exe
D:\Daten alt\C\WINDOWS\TEMP\loaderdobavka.exe
D:\Daten alt\C\WINDOWS\SYSTEM\WinNB57.dll
D:\Daten alt\C\WINDOWS\Startmenü\Programme\Autostart\netdb.exe
D:\Daten alt\C\WINDOWS\SYSTEM\netdc.exe

neustarten

ueberpruefe, dass das hier geloescht ist:

D:\Daten alt\C\WINDOWS\Downloaded Program Files\MirarSetup.exe

D:\Daten alt\C\WINDOWS\TEMP\loaderdobavka.exe

D:\Daten alt\C\WINDOWS\SYSTEM\WinNB57.dll

D:\Daten alt\C\WINDOWS\Startmenü\Programme\Autostart\netdb.exe

D:\Daten alt\C\WINDOWS\SYSTEM\netdc.exe

C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\1.qtdfmp

C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\6.qtdfmp

C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\7.qtdfmp

C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\vx2.game

C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\vx3.game


•RAV ANTIVIRUS SCAN ONLINE--> poste das Ergebnis vom Scann
http://www.ravantivirus.com/scan/index.php
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.04.2005, 19:23
Member

Beiträge: 11
#7 Hier sind ist die log-datei vom Scan:

Scan started at 08.04.2005 18:42:53

Scanning memory...
Scanning boot sectors...
Scanning files...

Scanned
============================
Objects: 47380
Directories: 4244
Archives: 6747
Size(Kb): -333886
Infected files: 0

Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 114


Die Datei Mirarsetup.exe war zwar aus dem ordner windows\download.... entfernt fand sich aber im Ordner Windows\Temp wieder

Bitte um Anweisungen

Danke Havoc
Seitenanfang Seitenende
09.04.2005, 00:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@Havoc
;)
Poste bite das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2005, 09:48
Member

Beiträge: 11
#9 Morgen!
Hier das neue Hijcakthislog:

Logfile of HijackThis v1.99.1
Scan saved at 09:46:10, on 09.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\KRGER~1\LOKALE~1\Temp\Rar$EX00.547\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{156DEE79-A483-42AD-9A5F-65E7C226B62F}: NameServer = 217.237.150.225 217.237.150.141
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Danke
Seitenanfang Seitenende
09.04.2005, 14:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo@Havoc

•RAV ANTIVIRUS SCAN ONLINE--> poste mir das Ergebnis vom Scann, bitte
http://www.ravantivirus.com/scan/index.php
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.04.2005, 18:29
Member

Beiträge: 11
#11 Scanned
============================
Objects: 36172
Directories: 2816
Archives: 6440
Size(Kb): 1919080
Infected files: 0

Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 69
Seitenanfang Seitenende
10.04.2005, 18:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 #Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.04.2005, 20:56
Member

Beiträge: 11
#13 Ad-Aware SE Build 1.05
Logfile Created on:Sonntag, 10. April 2005 20:48:05
Using definitions file:SE1R37 07.04.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):26 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Ignore spanned files when scanning cab archives
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Block pop-ups aggressively
Set : Automatically select problematic objects in results lists
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Show splash screen
Set : Backup current definitions file before updating
Set : Play sound at scan completion if scan locates critical objects


10.04.2005 20:48:05 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\Kröger\recent
Description : list of recently opened documents


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\windows\currentversion\applets\wordpad\recent file list
Description : list of recent files opened using wordpad


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\windows\currentversion\applets\paint\recent file list
Description : list of files recently opened using microsoft paint


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\windows\currentversion\explorer\runmru
Description : mru list for items opened in start | run


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\search assistant\acmru
Description : list of recent search terms used with the search assistant


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\mediaplayer\player\recentfilelist
Description : list of recently used files in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\microsoft management console\recent file list
Description : list of recent snap-ins used in the microsoft management console


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\adobe\acrobat reader\5.0\avgeneral\crecentfiles
Description : list of recently used files in adobe reader


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\mediaplayer\preferences
Description : last playlist index loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\windows\currentversion\applets\regedit
Description : last key accessed using the microsoft registry editor


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\mediaplayer\medialibraryui
Description : last selected node in the microsoft windows media player media library


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\winrar\dialogedithistory\extrpath
Description : winrar "extract-to" history


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 592
ThreadCreationTime : 10.04.2005 18:47:04
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 664
ThreadCreationTime : 10.04.2005 18:47:05
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 688
ThreadCreationTime : 10.04.2005 18:47:06
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 732
ThreadCreationTime : 10.04.2005 18:47:06
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 744
ThreadCreationTime : 10.04.2005 18:47:06
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [ati2evxx.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 896
ThreadCreationTime : 10.04.2005 18:47:07
BasePriority : Normal


#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 908
ThreadCreationTime : 10.04.2005 18:47:07
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1000
ThreadCreationTime : 10.04.2005 18:47:07
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1116
ThreadCreationTime : 10.04.2005 18:47:07
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1164
ThreadCreationTime : 10.04.2005 18:47:07
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:11 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1228
ThreadCreationTime : 10.04.2005 18:47:07
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:12 [ati2evxx.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1540
ThreadCreationTime : 10.04.2005 18:47:08
BasePriority : Normal


#:13 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1596
ThreadCreationTime : 10.04.2005 18:47:08
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:14 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1688
ThreadCreationTime : 10.04.2005 18:47:08
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:15 [toadimon.exe]
FilePath : C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\
ProcessID : 1872
ThreadCreationTime : 10.04.2005 18:47:11
BasePriority : Normal
FileVersion : 2.16.10
ProductVersion : 2.00
ProductName : Marmiko IT-Solutions GmbH DialAssistent Component
CompanyName : Marmiko IT-Solutions GmbH
FileDescription : T-Online Verbindungsassistent
InternalName : ToADiMon
LegalCopyright : Copyright © Marmiko IT-Solutions GmbH 2000-2004, Copyright © T-Online International AG 2001-2004
OriginalFilename : ToADiMon.EXE

#:16 [icqlite.exe]
FilePath : C:\Programme\ICQLite\
ProcessID : 1880
ThreadCreationTime : 10.04.2005 18:47:11
BasePriority : Normal
FileVersion : 20, 32, 2315, 0
ProductVersion : 20, 32, 2315, 0
ProductName : ICQLite
CompanyName : ICQ Ltd.
FileDescription : ICQLite
InternalName : ICQ Lite
LegalCopyright : Copyright (C) 2002
OriginalFilename : ICQLite.exe

#:17 [avgnt.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 1904
ThreadCreationTime : 10.04.2005 18:47:11
BasePriority : Normal


#:18 [avguard.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 140
ThreadCreationTime : 10.04.2005 18:47:14
BasePriority : Normal


#:19 [avwupsrv.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 152
ThreadCreationTime : 10.04.2005 18:47:14
BasePriority : Normal


#:20 [ewidoctrl.exe]
FilePath : C:\Programme\ewido\security suite\
ProcessID : 180
ThreadCreationTime : 10.04.2005 18:47:15
BasePriority : Normal
FileVersion : 3, 0, 0, 1
ProductVersion : 3, 0, 0, 1
ProductName : ewido control
CompanyName : ewido networks
FileDescription : ewido control
InternalName : ewido control
LegalCopyright : Copyright © 2004
OriginalFilename : ewidoctrl.exe

#:21 [ewidoguard.exe]
FilePath : C:\Programme\ewido\security suite\
ProcessID : 200
ThreadCreationTime : 10.04.2005 18:47:15
BasePriority : Normal
FileVersion : 3, 0, 0, 1
ProductVersion : 3, 0, 0, 1
ProductName : guard
CompanyName : ewido networks
FileDescription : guard
InternalName : guard
LegalCopyright : Copyright © 2004
OriginalFilename : guard.exe

#:22 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 372
ThreadCreationTime : 10.04.2005 18:47:15
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:23 [wdfmgr.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 548
ThreadCreationTime : 10.04.2005 18:47:23
BasePriority : Normal
FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act)
ProductVersion : 5.2.3790.1230
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows User Mode Driver Manager
InternalName : WdfMgr
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : WdfMgr.exe

#:24 [xcommsvr.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\
ProcessID : 652
ThreadCreationTime : 10.04.2005 18:47:24
BasePriority : Normal
FileVersion : 1, 7, 0, 4
ProductVersion : 1, 7, 0, 4
ProductName : Softwin BitDefender Communicator Server
CompanyName : Softwin
FileDescription : BitDefender Communicator Server
InternalName : XCOMMSVR
LegalCopyright : Copyright © 2003-2004 Softwin
OriginalFilename : xcommsvr.exe
Comments : Manages communication between BitDefender components

#:25 [bdss.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\
ProcessID : 1036
ThreadCreationTime : 10.04.2005 18:47:25
BasePriority : Normal


#:26 [wuauclt.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1056
ThreadCreationTime : 10.04.2005 18:47:25
BasePriority : Normal
FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04)
ProductVersion : 5.4.3790.2182
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Automatische Updates
InternalName : wuauclt.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : wuauclt.exe

#:27 [alg.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1492
ThreadCreationTime : 10.04.2005 18:47:34
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe

#:28 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Professional\
ProcessID : 336
ThreadCreationTime : 10.04.2005 18:47:51
BasePriority : Normal
FileVersion : 6.2.0.208
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 26


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 26


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 26


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 26



Deep scanning and examining files (C;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 26


Deep scanning and examining files (D;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 26


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 26




Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 26

20:54:09 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:06:03.922
Objects scanned:113267
Objects identified:0
Objects ignored:0
New critical objects:0
Seitenanfang Seitenende
10.04.2005, 21:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Hallo@Havoc

Ich denke, dass nun alles o.k. ist ;)

Download the beta* of our new anti-spyware software today

http://www.microsoft.com/athome/security/spyware/software/default.mspx
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.04.2005, 23:33
Member

Beiträge: 11
#15 Hallo!

Erstmal vielen Dank für alles, allerdings kann ich meine rechte maustaste immernoch nicht nutzen und kann den desktophintergrund nicht ändern.

Bitte um Hilfe bei der Beseitigung dieser Probleme.

Danke im vorraus

Havoc
Seitenanfang Seitenende