Win Min + Desktop Hijacker + flsmngr.dll

#1 Ich habe folgendes Problem:

Habe schon alles versucht, AdAware, SpyBot, CWShredder usw. Mitlerweile findet er nichts mehr. Nur mit Spy Sweeper findet er infizierte Dateien am laufenden Band...Scannen mit AntiVir im abgesicherten Modus und der neuesten Virusdefenition, brachte zwar ein Ergebnis von 8 Viren die alle gelöscht wurden. Jedoch ist meine Startseite noch immer www.w-find.com und Spw Sweeper schickt noch immer Warnungen...

Bitte um Hilfe! Danke!

Code

Logfile of HijackThis v1.99.1
Scan saved at 09:17:57, on 04.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cusrvc.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\TpKmpSVC.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\AGRSMMSG.exe
C:\WINNT\System32\RunDll32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINNT\System32\dpmw32.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\WINNT\System32\NWTRAY.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINNT\System32\combop.exe
C:\WINNT\System32\combo.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\winnt\egvsjvl.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\NETGEAR MA521 Adapter\wlancfg5.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\Profiles\rauch\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://172.30.9.3/proxy.pac
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\Thinkpad\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [SURUNREG] C:\APCPV\SURUNREG.EXE
O4 - HKLM\..\Run: [UserKonf] c:\apcpv\userkonf\userkonf.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Delete Einträge in HKCU] c:\apcpv\userkonf\delhkcu.exe
O4 - HKLM\..\Run: [combop.exe] combop.exe
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [pwgiliv] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [qqejaeq] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [taoohad] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [dqkjwyb] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [hroyrdb] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [efyaana] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [ptrlouo] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [albijbr] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [kmkhjqw] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [relgdrf] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [kbgqivf] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [yovdsls] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [qkdkphx] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [vvewxyi] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [ynanxcu] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [asrqqvq] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [tyxraau] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [vjpvrne] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [pcwxkfi] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [uwfxepx] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [lhlcvti] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [qdsklum] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [rtlqeud] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [lutqbbm] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [cweooch] c:\winnt\akvinqu.exe
O4 - HKCU\..\Run: [hgfakac] c:\winnt\akvinqu.exe
O4 - HKCU\..\Run: [lhertwx] c:\winnt\nrdfaay.exe
O4 - HKCU\..\Run: [ibdttnd] c:\winnt\nrdfaay.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GroupWise Notify.lnk = C:\Programme\GroupWise\notify.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: MA521 Configuration Utility.lnk = C:\Programme\NETGEAR MA521 Adapter\wlancfg5.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\flsmngr.dll
O16 - DPF: {1847DE97-046B-5839-30BD-63D8293E2EB3} - http://69.50.182.94/1/rdgAT1882.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/o2cplayer.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{313D990D-2A02-4514-B984-9DCB34B7A7A0}: Domain = BRZ.GV.AT
O17 - HKLM\System\CCS\Services\Tcpip\..\{75B11B5C-C858-4451-B41F-14DB14F251BF}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAD47E5C-630F-4B06-94E1-945F8AE11E3E}: Domain = BRZ.GV.AT
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = brz.gv.at,bmf.gv.at
O17 - HKLM\System\CS1\Services\Tcpip\..\{313D990D-2A02-4514-B984-9DCB34B7A7A0}: Domain = BRZ.GV.AT
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = brz.gv.at,bmf.gv.at
O17 - HKLM\System\CS2\Services\Tcpip\..\{313D990D-2A02-4514-B984-9DCB34B7A7A0}: Domain = BRZ.GV.AT
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = brz.gv.at,bmf.gv.at
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINNT\System32\cusrvc.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINNT\system32\TpKmpSVC.exe

#2 Du hast noch so einiges auf dem Rechner. Lade bitte folgende Programme herunter:

about:blank - se.dll\sp.html - Cleaner-Tool
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

LSPFix
http://www.cexx.org/lspfix.htm

eScan
http://www.mwti.net/antivirus/free_utilities.asp

Lasse zuerst das se.dll\sp.html Cleaner Tool durchlaufen, und danach gehst du wie folgt vor:


Erster Schritt:

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!


Diagnose und Vorbereinigung:

Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken)
(DSO Exploit im Spybot S&D kannst Du vernachlässigen, ist ein Bug im Programm. Wenn Du willst, kannst Du ihn mit dem Fix von hier beseitigen, ist für die Funktion von Spybot aber nicht notwendig).

Lese dir aufmerksam die Informationen auf folgender Seite zu eScan durch:
http://www.trojaner-info.de/hijacker/escan.shtml
Update und scanne mit eScan entsprechend der Beschreibung für die Version 4.5.1 oder jünger von trojaner-info.

Setze im eScan alle Häkchen, außer bei "Folder" und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!).

Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (kompletter Pfad + Datei, sowie Art der Infektion!)
Virenwächter danach wieder aktivieren!


HijackThis-Einträge:

Weiterhin im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten):
Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken)
(sollten manche Einträge nicht mehr im HijackThis-Log vorhanden sein, ist es sehr wahrscheinlich, dass sie bereits durch das sp.dll-Cleaner Tool entfernt worden sind)

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm
O4 - HKCU\..\Run: [pwgiliv] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [qqejaeq] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [taoohad] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [dqkjwyb] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [hroyrdb] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [efyaana] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [ptrlouo] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [albijbr] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [kmkhjqw] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [relgdrf] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [kbgqivf] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [yovdsls] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [qkdkphx] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [vvewxyi] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [ynanxcu] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [asrqqvq] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [tyxraau] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [vjpvrne] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [pcwxkfi] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [uwfxepx] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [lhlcvti] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [qdsklum] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [rtlqeud] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [lutqbbm] c:\winnt\egvsjvl.exe
O4 - HKCU\..\Run: [cweooch] c:\winnt\akvinqu.exe
O4 - HKCU\..\Run: [hgfakac] c:\winnt\akvinqu.exe
O4 - HKCU\..\Run: [lhertwx] c:\winnt\nrdfaay.exe
O4 - HKCU\..\Run: [ibdttnd] c:\winnt\nrdfaay.exe
O16 - DPF: {1847DE97-046B-5839-30BD-63D8293E2EB3} - http://69.50.182.94/1/rdgAT1882.exe
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/o2cplayer.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB

Des weiteren überprüfe bitte ob du folgende Einträge dir bekannten und vertrauenswürdigen Programmen/Domänen zuordnen kannst (sehr wichtig!) und gib dazu eine Rückmeldung.

Zitat

O4 - HKLM\..\Run: [SURUNREG] C:\APCPV\SURUNREG.EXE
O4 - HKLM\..\Run: [UserKonf] c:\apcpv\userkonf\userkonf.exe
O4 - HKLM\..\Run: [Delete Einträge in HKCU] c:\apcpv\userkonf\delhkcu.exe
O4 - HKLM\..\Run: [combop.exe] combop.exe
O4 - HKLM\..\Run: [combo.exe] combo.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{313D990D-2A02-4514-B984-9DCB34B7A7A0}: Domain = BRZ.GV.AT
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAD47E5C-630F-4B06-94E1-945F8AE11E3E}: Domain = BRZ.GV.AT
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = brz.gv.at,bmf.gv.at
O17 - HKLM\System\CS1\Services\Tcpip\..\{313D990D-2A02-4514-B984-9DCB34B7A7A0}: Domain = BRZ.GV.AT
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = brz.gv.at,bmf.gv.at
O17 - HKLM\System\CS2\Services\Tcpip\..\{313D990D-2A02-4514-B984-9DCB34B7A7A0}: Domain = BRZ.GV.AT
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = brz.gv.at,bmf.gv.at
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINNT\System32\cusrvc.exe

Lasse bitte unbekannte Dateien hier überprüfen indem du sie hochlädst:
http://virusscan.jotti.org/
und poste dann das Ergebnis.


Starte nun die LSPFix.exe:

Zitat

Quelle: http://board.protecus.de/t16317.htm
LSP und WinSock-Fix

- Ich habe einen O10 Eintrag bei HijackThis, die automatische Auswertung sagt, ich soll ihn mit LSP-Fix beheben?
Das Tool dazu gibt es hier (http://www.cexx.org/lspfix.htm) oder hier (http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm).
Nach dem herunterladen starte die LSPFix.exe >> Hake das Kontrollkästchen "I know what I'm doing" an. Wähle aus der Liste die Datei, welche von HijackThis bei dem O10 Eintrag angezeigt wird aus (nur diese!), drücke danach auf ">>" um die Datei auf die rechte Seite zu bringen. Abschließend drücke auf "Finish >>"
Nachdem du den Fix vorgenommen hast, gehe in den Ordner in welchem sich die Datei befindet und lösche sie manuell. Wichtig: lösche die Datei erst, nachdem du sie mit dem LSPFix entfernt hast.

Wähle wie oben beschrieben folgende .dll-Datei aus und lasse sie von LSPFix fixen:
c:\winnt\system32\flsmngr.dll (wichtig: erst danach die Datei löschen!)


Löschen von ActiveX-Programmen:

Lösche alle Dateien in folgendem Verzeichnis:
C:\Windows\Downloaded Programm Files\


Löschen von temporären Dateien:

Lösche alle Dateien in folgenden Verzeichnisen:
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\[dein Username]\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\[dein Username]\Lokale Einstellungen\Temporary Internet Files\Content.IE5 (lösche nicht die index.dat!)


Erstelle danach ein neues HijackThis-Log und poste es zusammen mit den anderen angeforderten Informationen (eScan-Ergebnisse, HijackThis Einträge und jotti-Informationen).
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#3 also ich habe deine anweisungen befolgt und kam zu folgendem ergebnis:

adaware - nichts gefunden
spybot - nichts gefunden

eScan

Code

Wed May 04 14:05:37 2005 => System found infected with cws.smartsearch Spyware/Adware (C:\WINNT\Start.exe)! Action taken: No Action Taken.
Wed May 04 14:05:37 2005 => File System Found infected by "cws.smartsearch Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 04 14:07:04 2005 => File C:\WINNT\System32\regekill.dll infected by "Backdoor.Win32.PPdoor.j" Virus. Action Taken: No Action Taken.
Wed May 04 14:07:09 2005 => File C:\WINNT\System32\spoolsrv32.exe infected by "not-a-virus:AdWare.FindSpy.e" Virus. Action Taken: No Action Taken.
Wed May 04 14:08:27 2005 => File C:\TEMP\tmp2B.tmp infected by "Trojan-Dropper.Win32.Small.yi" Virus. Action Taken: No Action Taken.
Wed May 04 14:08:27 2005 => File C:\TEMP\tmp30.tmp infected by "Trojan-Downloader.Win32.Small.ati" Virus. Action Taken: No Action Taken.
Wed May 04 14:08:27 2005 => File C:\TEMP\tmp35.tmp infected by "Trojan-Dropper.Win32.Small.yi" Virus. Action Taken: No Action Taken.
Wed May 04 14:08:27 2005 => File C:\TEMP\tmp36.tmp infected by "Trojan-Downloader.Win32.Small.ati" Virus. Action Taken: No Action Taken.
Wed May 04 14:10:14 2005 => File C:\WINNT\Profiles\rauch\LOKALE~1\TEMPOR~1\Content.IE5\EPZGTGRA\rdgAT1882[1].exe infected by "Trojan.Win32.Dialer.ht" Virus. Action Taken: No Action Taken.
Wed May 04 16:26:50 2005 => File C:\TEMP\tmp2B.tmp infected by "Trojan-Dropper.Win32.Small.yi" Virus. Action Taken: No Action Taken.
Wed May 04 16:26:50 2005 => File C:\TEMP\tmp30.tmp infected by "Trojan-Downloader.Win32.Small.ati" Virus. Action Taken: No Action Taken.
Wed May 04 16:26:50 2005 => File C:\TEMP\tmp35.tmp infected by "Trojan-Dropper.Win32.Small.yi" Virus. Action Taken: No Action Taken.
Wed May 04 16:26:50 2005 => File C:\TEMP\tmp36.tmp infected by "Trojan-Downloader.Win32.Small.ati" Virus. Action Taken: No Action Taken.
Wed May 04 16:38:01 2005 => File C:\WINNT\Profiles\rauch\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EPZGTGRA\rdgAT1882[1].exe infected by "Trojan.Win32.Dialer.ht" Virus. Action Taken: No Action Taken.
Wed May 04 16:48:09 2005 => File C:\WINNT\system32\regekill.dll infected by "Backdoor.Win32.PPdoor.j" Virus. Action Taken: No Action Taken.
Wed May 04 16:48:27 2005 => File C:\WINNT\system32\spoolsrv32.exe infected by "not-a-virus:AdWare.FindSpy.e" Virus. Action Taken: No Action Taken.

Wed May 04 17:07:14 2005 => ***** Scanning complete. *****
 
Wed May 04 17:07:14 2005 => Total Objects Scanned: 91110
Wed May 04 17:07:14 2005 => Total Virus(es) Found: 15
Wed May 04 17:07:14 2005 => Total Disinfected Files: 0
Wed May 04 17:07:14 2005 => Total Files Renamed: 0
Wed May 04 17:07:14 2005 => Total Deleted Objects: 0
Wed May 04 17:07:14 2005 => Total Errors: 6
Wed May 04 17:07:14 2005 => Time Elapsed: 03:04:40
Wed May 04 17:07:14 2005 => Virus Database Date: 2005/05/04
Wed May 04 17:07:14 2005 => Virus Database Count: 128310
 
Wed May 04 17:07:14 2005 => Scan Completed.
 
Wed May 04 17:37:11 2005 => Virus Database Date: 2005/05/04
Wed May 04 17:37:11 2005 => Virus Database Count: 128310
Wed May 04 17:37:24 2005 => AV Library Unloaded (3)...

Bei der Überprüfung mit Jotti fand ich 2 infizierte dateien (die einträge mit brz.gv.at sind nicht böse, da das fürs intranet der firma benötigt wird):

Code

File:  combo.exe  
Status:  MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)  

File:  combop.exe  
Status:  INFECTED/MALWARE  
MD5  b977497cf427f1a468d06e55e9df93ae  
Packers detected:  UPX 
Scanner results  
AntiVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found nothing 
ClamAV  Found nothing 
Dr.Web  Found nothing 
F-Prot Antivirus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
mks_vir  Found nothing 
NOD32  Found nothing 
Norman Virus Control  Found Sandbox: W32/Malware; [ General information ]

* **Locates window "NULL [class #32770]" on desktop.

[ Changes to filesystem ]
* Creates file combop.exe.

[ Changes to registry ]
* Creates value "combop.exe"="combop.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Connects to "wefed.biz" on port 0 (ICMP).
* Sends data stream (32 bytes) to remote address "wefed.biz", port 0.

[ Security issues ]
* Possible backdoor functionality [UNKNOWN] port 32167.

[ Process/window information ]
* Will automatically restart after boot (I'll be back...).  
VBA32  Found nothing 

Mit LSPFix habe ich dann die flsmngr.dll removed, leider konnte ich sie nicht löschen da sie verwendet wurde...obwohl ich im abgesicherten modus war.

Und jetzt nochmal der letzte HijackThis Scan

Code

Logfile of HijackThis v1.99.1
Scan saved at 18:29:51, on 04.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cusrvc.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\WINNT\system32\TpKmpSVC.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\AGRSMMSG.exe
C:\WINNT\System32\RunDll32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINNT\System32\dpmw32.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\WINNT\System32\NWTRAY.EXE
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINNT\System32\combop.exe
C:\WINNT\System32\combo.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\NETGEAR MA521 Adapter\wlancfg5.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\Profiles\rauch\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://172.30.9.3/proxy.pac
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\Thinkpad\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [SURUNREG] C:\APCPV\SURUNREG.EXE
O4 - HKLM\..\Run: [UserKonf] c:\apcpv\userkonf\userkonf.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Delete Einträge in HKCU] c:\apcpv\userkonf\delhkcu.exe
O4 - HKLM\..\Run: [combop.exe] combop.exe
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GroupWise Notify.lnk = C:\Programme\GroupWise\notify.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: MA521 Configuration Utility.lnk = C:\Programme\NETGEAR MA521 Adapter\wlancfg5.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{313D990D-2A02-4514-B984-9DCB34B7A7A0}: Domain = BRZ.GV.AT
O17 - HKLM\System\CCS\Services\Tcpip\..\{75B11B5C-C858-4451-B41F-14DB14F251BF}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAD47E5C-630F-4B06-94E1-945F8AE11E3E}: Domain = BRZ.GV.AT
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = brz.gv.at,bmf.gv.at
O17 - HKLM\System\CS1\Services\Tcpip\..\{313D990D-2A02-4514-B984-9DCB34B7A7A0}: Domain = BRZ.GV.AT
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = brz.gv.at,bmf.gv.at
O17 - HKLM\System\CS2\Services\Tcpip\..\{313D990D-2A02-4514-B984-9DCB34B7A7A0}: Domain = BRZ.GV.AT
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = brz.gv.at,bmf.gv.at
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINNT\System32\cusrvc.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINNT\system32\TpKmpSVC.exe

Muss ich jetzt noch was tun? übrigends danke für die hilfe!!

#4 Besorge dir noch:
CWShredder:
http://cwshredder.net/bin/CWShredder.exe

Lasse den CWShredder über dein System laufen, melde bitte wenn er fündig wird.

Zitat

Löschen von temporären Dateien:

Lösche alle Dateien in folgenden Verzeichnisen:
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\[dein Username]\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\[dein Username]\Lokale Einstellungen\Temporary Internet Files\Content.IE5 (lösche nicht die index.dat!)

Hast du dies befolgt? Wenn ja, vor oder nach dem Scan mit eScan? (einige infizierte Dateien in deinen temporären Verzeichnissen im Log) Wenn du's bisher nicht gemacht hast, dringend die temporären Dateien löschen.

Danach:
Start -> Ausführen -> cleanmgr
Laufwerk C: auswählen

Wähle aus:
[X] Temporary Internet Files
[X] Offlinewebseiten
[X] Papierkorb
[X] Temporäre Dateien
[X] Webclient/Publisher Temporary Files

Bestätige dann mit OK


Zu folgenden Einträgen in HijackThis hast du mir leider keine konkrete Rückmeldung gegeben, kennst du sie?

Zitat

O4 - HKLM\..\Run: [SURUNREG] C:\APCPV\SURUNREG.EXE
O4 - HKLM\..\Run: [UserKonf] c:\apcpv\userkonf\userkonf.exe
O4 - HKLM\..\Run: [Delete Einträge in HKCU] c:\apcpv\userkonf\delhkcu.exe
O4 - Global Startup: GroupWise Notify.lnk = C:\Programme\GroupWise\notify.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINNT\System32\cusrvc.exe

Fixe nun mit HijackThis:

Zitat

O4 - HKLM\..\Run: [combop.exe] combop.exe
O4 - HKLM\..\Run: [combo.exe] combo.exe

Lösche manuell folgende Dateien:

Zitat

C:\WINNT\Start.exe
C:\WINNT\System32\regekill.dll
C:\WINNT\System32\spoolsrv32.exe
C:\WINNT\System32\combop.exe
C:\WINNT\System32\combo.exe

Falls sich Dateien nicht löschen lassen, musst du dies vielleicht durch ein Tool direkt nach dem Neustart erledigen lassen. HijackThis bringt solch eine Funktion bereits mit:

Zitat

http://board.protecus.de/t16317.htm

Eventuelle Virenfunde und Infektionen sollte man manuell löschen, lässt sich eine Datei nicht löschen so ist sie gesondert geschützt und muss bei einem Neustart gelöscht werden.
HijackThis bringt hierfür schon eine eingebaute Funktion mit:
Config... >> Misc Tools >> Delete a File on Reboot

Poste danach bitte ein neues Logfile vom HijackThis und eScan und versuche bitte die Informationen zu den gefragten HijackThis-Einträgen zu liefern (bei dir unbekannten Dateien wieder jotti benutzen und Ergebnis ebenfalls posten).
__________
"life's a bitch, turn around and she'll backstab you for a buck."