Adware.WinTaskAd und Adware.SyncroAd - configsys.exe

02.05.2005, 16:08

Malkesh

Member

Beiträge: 669

#16 Windows Suchfunktion -> nach der Datei suchen lassen

Sicherstellen das deine Windows Explorer Einstellungen alle Dateien anzeigen lassen:

Zitat

http://board.protecus.de/t16317.htm

Häufig kommt es auch vor, dass User berichten sie könnten eine angeblich infizierte Datei nicht finden. Dies liegt an den Einstellungen des Windows Explorers.
Extras >> Ordneroptionen... >> Ansicht
Hier stellt man sicher dass folgende Einträge ausgewählt sind:
"Inhalte von Systemordnern anzeigen"
"Alle Dateien und Ordner anzeigen"
außerdem sollten folgende Einträge nicht ausgewählt sein:
"Erweiterungen bei bekannten Dateitypen ausblenden"
"Geschützte Systemdateien ausblenden"
Nun werden alle Dateien angezeigt und sollten auffindbar sein.

Ich hoffe nun kannst du die Datei aufspüren.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

02.05.2005, 16:59

Andrea511

Member

Themenstarter

Beiträge: 11

#17 Die Einstellungen des Window Explorer hatte ich bereits so eingestellt, das hatte ich hier im Forum schon gelesen.
Dennoch findet der Rechner diese Datei nicht.
Ich habe "ungc.exe" einmal als Dateinamen und einmal als Teil des Dateinamen suchen lassen, leider vergeblich. Es kommen höchstens Meldungen dieser Art:
CollectedData_1064.xml C:/PCHealth/HelpCTR/DataColl
CollectedData_1124.xml C:/PCHealth/HelpCTR/DataColl
CollectedData_1154.xml C:/PCHealth/HelpCTR/DataColl
usw.

Soll ich "einfach mal" im angesicherten Modus EScan laufen lassen? Würde das etwas helfen?

02.05.2005, 17:15

Malkesh

Member

Beiträge: 669

#18 Ein Scan im abgesicherten Modus ist zu empfehlen, aber fixe erst einmal den Eintrag im Hijackthis.
Danach mache folgendes:
Start -> Ausführen -> Regedit -> [Strg] + [F]
In die Suchmaske "ungc.exe" eingeben und die Registry danach durchsuchen lassen (kann ein wenig dauern).

Poste danach bitte eventuelle Funde (der 'Pfad' wird unten am Rand des Fensters angezeigt)
__________
"life's a bitch, turn around and she'll backstab you for a buck."

Dieser Beitrag wurde am 02.05.2005 um 17:16 Uhr von Malkesh editiert.

02.05.2005, 17:41

Andrea511

Member

Themenstarter

Beiträge: 11

#19 Die Datei ist im logfile nicht mehr zu finden, hier der komplette logfile:
Logfile of HijackThis v1.99.1
Scan saved at 17:33:42, on 02.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Antivir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wwSecure.exe
D:\Programme\Norton Personal Firewall\NISSERV.EXE
D:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\programme\seti\SETI@home.exe
C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
D:\Programme\TechniSat DVB\bin\Server4PC.exe
D:\Programme\united_devices\UD.EXE
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
D:\Programme\united_devices\ud_7657531.exe
D:\Programme\united_devices\ud_7657531_0.dir\WCGrid_Rosetta.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
d:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [iamapp] D:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] d:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [seticlient] d:\programme\seti\SETI@home.exe -min
O4 - HKCU\..\Run: [Window Washer] C:\Programme\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: UD Agent.lnk = D:\Programme\united_devices\UD.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microtek Scanner Finder.lnk = D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: Server4PC.lnk = D:\Programme\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - D:\Programme\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e/tracker_short.pl?http://www.ebay.de (file missing)
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://turnier.freenet.de/midasa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/3096fde9cadea31e1902/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101584874068
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1ED19406-1407-481D-B11B-39462C7E7458}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{1ED19406-1407-481D-B11B-39462C7E7458}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme/Antivir\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - D:\Programme\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - D:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - D:\Programme\Norton Personal Firewall\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe

Das Ergebnis der Suche unter Regedit ist hier, kopieren geht nicht, deswegen hab ich es abgeschrieben:
Name Typ Wert
ab (Standard) Reg_SZ (Wert nicht gesetzt)
ab 000 Reg_SZ ungc.exe

Hier noch der dazugehörige Pfad vom unteren Bildrand:
Arbeitsplatz/HKEY_CURRENT_USER/Software/Microsoft/Search Assistent/ACMru/5603

02.05.2005, 17:53

Malkesh

Member

Beiträge: 669

#20 Wenn dies das einzige Ergebnis der Suche ist, gut. dieser Eintrag stammt nämlich nur von der Windows-Suchfunktion (klar steht da die Datei drin, nach ihr hast du schließlich vorher auf deiner Platte gesucht).

Fixe noch diesen HijackThis-Eintrag:
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e/tracker_short.pl?http://www.ebay.de (file missing)

Außerdem: hast du zwei Virenscanner laufen? Sieht ganz nach AntiVir und Norton AntiVirus aus. Wenn ja entscheide dich für einen und deinstalliere den zweiten. Zwei Virenscanner auf einmal behindern sich nur gegenseitig und treten sich auf die Füße.

Wenn danach alle Scans ohne Ergebnis durchlaufen (möglichst im abgesicherten Modus) hast du es wohl überstanden.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

02.05.2005, 17:57

Andrea511

Member

Themenstarter

Beiträge: 11

#21 Den ebay-Preispiraten-Eintrag hab ich gefixt.

Und ja, ich habe Norton und Antivirus parallel laufen. Ich habe nämlich die Erfahrung gemacht, dass Norton Dinge findet, die Antivir nicht findet und umgekehrt. Bisher hatte ich auch nicht den Eindruck, dass sie sich gegenseitig behindern, das geht jetzt schon gute 2 Jahre ohne Probleme.

Werde jetzt mal über meinen Schatten springen und im abgesicherten Modus scannen. ;-)

Vielen Dank für die umfassende Hilfe!!!!
Werde später noch kurz Bescheid geben, ob der Scan geklappt hat und was dabei rausgekommen ist.

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2