Home » Viren, Trojaner & Malware Forum » Virus Bloodhound w32 » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2 3

Antworten

Virus Bloodhound w32

20.06.2005, 18:52

Scrouser

Member

Beiträge: 15

#1 Hallo Zusammen

Habe ein riesen Problem, habe mir den Virus Bloodhound W32 eingefangen.
Norton, Advare, Spyboot, Shredder und Spysoft haben nichts genützt.

Haben mit Hijack This folgendes Logfile erhalten:

Logfile of HijackThis v1.98.0
Scan saved at 18:44:30, on 20.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\sys209.exe
C:\WINDOWS\ckdtb.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\init32ym.exe
C:\WINDOWS\sys430.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Oliver\LOKALE~1\Temp\fca0IVf.exe
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\sys4336.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\sys4338.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\WINDOWS\system32\msxct.exe
c:\programme\180solutions\sais.exe
D:\Download\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.ch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.190.135/?to=FED&from=start_page2&type=start_page2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.ch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe init32ym.exe
O2 - BHO: FCBHOBHO Class - {8B3868B4-EBA8-48FA-A19B-E1DFB99066FA} - C:\Programme\FlashCapture\FCBHO.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\system32\msbe.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [pwrpdfprsrv.exe] C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [ Services.dll] C:\WINDOWS\msagent\system\smss.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [cQi7EG] C:\WINDOWS\mnkbnpx.exe
O4 - HKLM\..\Run: [sys201] C:\WINDOWS\system32\sys209.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [SdbBdAbB] C:\WINDOWS\ckdtb.exe
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\Run: [load32] C:\WINDOWS\system32\winldra.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [ovgxuvoh] C:\WINDOWS\ovgxuvoh.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [_Services.dll] C:\WINDOWS\msagent\system\smss.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Save F&lash with FlashCapture - res://C:\Programme\FlashCapture\FCIEXT.dll/FCIEXT.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: FlashCapture - {753BBC4B-CC73-4fb8-A5B5-CA09C804C1DD} - res://C:\Programme\FlashCapture\FCIEXT.dll/FCIEXT.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://dgl.microsoft.com/downloads/outc.cab

Verstehe leider nur Bahnhof, bitte um Hilfe

Grüsse Scrouser

21.06.2005, 14:56

vfgt

Member

Beiträge: 291

#2 Bloodhound ist die Heuristik von Norton. Das heist, dass der Virus, vorausgesetzt das es tatsächlich einer ist, bis jetzt noch unbekant ist. Schau am besten mal in den Quarantäne-Bereich vom Norton und sende den Virus an Symantec.

21.06.2005, 16:06

Dafra

Member

Beiträge: 1122

#3 @Scrouser
Du hast da verdammmt viel Mist drin hängen, am besten formatierst du und spielst Windows neu drauf......
MFG
DAFRA

22.06.2005, 15:10

Scrouser

Member

Themenstarter

Beiträge: 15

#4 Hallo

Besten Dank für Eure Hilfe, habe den Computer formatiert...

Jetzt läuft fast alles wieder normal, ausser das immer noch IE-Seiten automatisch aufgehen. Immer mit dieser URL http://www.psguard.com/?aff=34&sub=0, weiss jemand wie ich das auch noch wegbringe?

Grüsse Scrouser

26.06.2005, 01:22

Sabina

Ehrenmitglied

Beiträge: 29434

#5 Scrouser

poste das neue log vom HijackThis:
__________
MfG Sabina

rund um die PC-Sicherheit

26.06.2005, 09:06

Scrouser

Member

Themenstarter

Beiträge: 15

#6 Hallo Sabina

Hier ist mein HijackThis Log:

Logfile of HijackThis v1.98.0
Scan saved at 09:04:16, on 26.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
D:\Download\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.ch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.190.135/?to=FED&from=start_page2&type=start_page2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.ch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: FCBHOBHO Class - {8B3868B4-EBA8-48FA-A19B-E1DFB99066FA} - C:\Programme\FlashCapture\FCBHO.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [pwrpdfprsrv.exe] C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [ Services.dll] C:\WINDOWS\msagent\system\smss.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [cQi7EG] C:\WINDOWS\mnkbnpx.exe
O4 - HKLM\..\Run: [sys201] C:\WINDOWS\system32\sys209.exe
O4 - HKLM\..\Run: [dRfjh9] C:\WINDOWS\ixfqdv.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [_Services.dll] C:\WINDOWS\msagent\system\smss.exe
O4 - HKCU\..\Run: [qqww] C:\PROGRA~1\COMMON~1\qqww\qqwwm.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Save F&lash with FlashCapture - res://C:\Programme\FlashCapture\FCIEXT.dll/FCIEXT.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: FlashCapture - {753BBC4B-CC73-4fb8-A5B5-CA09C804C1DD} - res://C:\Programme\FlashCapture\FCIEXT.dll/FCIEXT.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://dgl.microsoft.com/downloads/outc.cab

Besten Dank für Eure/Deine Hilfe..

Grüsse Scrouser

26.06.2005, 09:32

Sabina

Ehrenmitglied

Beiträge: 29434

#7 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.190.135/?to=FED&from=start_page2&type=start_page2
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [ Services.dll] C:\WINDOWS\msagent\system\smss.exe
O4 - HKLM\..\Run: [cQi7EG] C:\WINDOWS\mnkbnpx.exe
O4 - HKLM\..\Run: [sys201] C:\WINDOWS\system32\sys209.exe
O4 - HKLM\..\Run: [dRfjh9] C:\WINDOWS\ixfqdv.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [_Services.dll] C:\WINDOWS\msagent\system\smss.exe
O4 - HKCU\..\Run: [qqww] C:\PROGRA~1\COMMON~1\qqww\qqwwm.exe
O9 - Extra button: FlashCapture - {753BBC4B-CC73-4fb8-A5B5-CA09C804C1DD} - res://C:\Programme\FlashCapture\FCIEXT.dll/FCIEXT.htm (file missing)

PC neustarten

einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

C:\WINDOWS\msagent\system\smss.exe
C:\WINDOWS\ckdtb.exe

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Programme\PSGuard\PSGuard.exe
C:\Programme\PSGuard
C:\WINDOWS\mnkbnpx.exe
C:\WINDOWS\ckdtb.exe
C:\WINDOWS\system32\sys209.exe
C:\WINDOWS\sys4336.exe
C:\WINDOWS\sys4338.exe
C:\WINDOWS\sys430.exe
C:\WINDOWS\ixfqdv.exe
C:\PROGRA~1\COMMON~1\qqww\qqwwm.exe
C:\PROGRA~1\COMMON~1\qqww
C:\WINDOWS\system32\init32ym.exe

PC neustarten

Pfind
http://www.bleepingcomputer.com/files/pfind.php

laden -- entpacken -- in C:\Pfind -- klicken pfind.bat
nach dem Scan -- C:\pfind.txt -- kopieren/einfügen

Silentrunners
http://virus-protect.org/silentrunner.html

klicke: output file is in text format. -- Doppelklick und es oeffnet sich der Editor-- und poste alles, was angezeigt wird.

Start -- alle Programme -- Zubehoer -- Editor und kopiere folgenden Text rein:

Zitat

dir %Systemdrive%\wininet.dll /a h /s > files.txt
start notepad files.txt

- Speichern als: wininet.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate wininet.bat -- doopelklick auf die bat-Datei , der Editor oeffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit

26.06.2005, 10:15

Scrouser

Member

Themenstarter

Beiträge: 15

#8 Hallo Sabina

Frage: Muss ich nur diese Dateien im Hijack fixen?

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.190.135/?to=FED&from=start_page2&type=start_page2
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [ Services.dll] C:\WINDOWS\msagent\system\smss.exe
O4 - HKLM\..\Run: [cQi7EG] C:\WINDOWS\mnkbnpx.exe
O4 - HKLM\..\Run: [sys201] C:\WINDOWS\system32\sys209.exe
O4 - HKLM\..\Run: [dRfjh9] C:\WINDOWS\ixfqdv.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [_Services.dll] C:\WINDOWS\msagent\system\smss.exe
O4 - HKCU\..\Run: [qqww] C:\PROGRA~1\COMMON~1\qqww\qqwwm.exe
O9 - Extra button: FlashCapture - {753BBC4B-CC73-4fb8-A5B5-CA09C804C1DD} - res://C:\Programme\FlashCapture\FCIEXT.dll/FCIEXT.htm (file missing)

oder alle?

26.06.2005, 10:59

Sabina

Ehrenmitglied

Beiträge: 29434

Zitat

Scrouser postete
Hallo Sabina

Frage: Muss ich nur diese Dateien im Hijack fixen?

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.190.135/?to=FED&from=start_page2&type=start_page2
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [ Services.dll] C:\WINDOWS\msagent\system\smss.exe
O4 - HKLM\..\Run: [cQi7EG] C:\WINDOWS\mnkbnpx.exe
O4 - HKLM\..\Run: [sys201] C:\WINDOWS\system32\sys209.exe
O4 - HKLM\..\Run: [dRfjh9] C:\WINDOWS\ixfqdv.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [_Services.dll] C:\WINDOWS\msagent\system\smss.exe
O4 - HKCU\..\Run: [qqww] C:\PROGRA~1\COMMON~1\qqww\qqwwm.exe
O9 - Extra button: FlashCapture - {753BBC4B-CC73-4fb8-A5B5-CA09C804C1DD} - res://C:\Programme\FlashCapture\FCIEXT.dll/FCIEXT.htm (file missing)

oder alle?

nur diese !!!!!!!!!!!!!
__________
MfG Sabina

rund um die PC-Sicherheit

26.06.2005, 13:17

Scrouser

Member

Themenstarter

Beiträge: 15

#10 Hallo Sabina

Blöde Frage (bin halt noch Anfänger), wo sind nun die exe dateien hin welche ich prüfen soll? Habe HijackThis erledigt und dann neu gestartet. Jetzt wollte ich die exe dateien auf virustotal prüfen finde sie aber leider nicht, oder habe ich da was übersehen?

Grüsse Scrouser

26.06.2005, 17:42

Sabina

Ehrenmitglied

Beiträge: 29434

#11 wenn du die dateien in das Fenster einkopierst, dann erscheinen sie automatisch

C:\WINDOWS\msagent\system\smss.exe
C:\WINDOWS\ckdtb.exe
__________
MfG Sabina

rund um die PC-Sicherheit

26.06.2005, 18:32

Scrouser

Member

Themenstarter

Beiträge: 15

#12 Hallo

Das lustige ist jetzt ist die automatische Anderung des IE weg, sowie auch diese Dateien. Weiss auch nicht, hoffe das es jetzt gut ist...

Grüsse

26.06.2005, 19:16

Sabina

Ehrenmitglied

Beiträge: 29434

#13 bitte. arbeite ALLES ab !!!!!!!!!!!!!!!!

Zitat

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Programme\PSGuard\PSGuard.exe
C:\Programme\PSGuard
C:\WINDOWS\mnkbnpx.exe
C:\WINDOWS\ckdtb.exe
C:\WINDOWS\system32\sys209.exe
C:\WINDOWS\sys4336.exe
C:\WINDOWS\sys4338.exe
C:\WINDOWS\sys430.exe
C:\WINDOWS\ixfqdv.exe
C:\PROGRA~1\COMMON~1\qqww\qqwwm.exe
C:\PROGRA~1\COMMON~1\qqww
C:\WINDOWS\system32\init32ym.exe

PC neustarten

Pfind
http://www.bleepingcomputer.com/files/pfind.php

laden -- entpacken -- in C:\Pfind -- klicken pfind.bat
nach dem Scan -- C:\pfind.txt -- kopieren/einfügen

Silentrunners
http://virus-protect.org/silentrunner.html

klicke: output file is in text format. -- Doppelklick und es oeffnet sich der Editor-- und poste alles, was angezeigt wird.

Start -- alle Programme -- Zubehoer -- Editor und kopiere folgenden Text rein:

Zitat
dir %Systemdrive%\wininet.dll /a h /s > files.txt
start notepad files.txt
- Speichern als: wininet.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate wininet.bat -- doopelklick auf die bat-Datei , der Editor oeffnet sich -- poste den Text

__________
MfG Sabina

rund um die PC-Sicherheit

26.06.2005, 19:34

Scrouser

Member

Themenstarter

Beiträge: 15

#14 Hallo

So habe alle Schritte befolgt, ist halt ein bischen viel Text geworden:

Pfind:

Files found with this application may be legitimate.
Only remove files that you know are malware related.
Checking the C:\WINDOWS folder
C:\WINDOWS\sys5419.exe: FSG!
C:\WINDOWS\sys3943.exe: FSG!
C:\WINDOWS\sys256.exe: FSG!
C:\WINDOWS\sys1357.exe: FSG!
C:\WINDOWS\sys348.exe: FSG!
C:\WINDOWS\sys4416.exe: FSG!
C:\WINDOWS\sys1435.exe: FSG!
C:\WINDOWS\sys1234.exe: FSG!
C:\WINDOWS\sys4453.exe: FSG!
C:\WINDOWS\sys4256.exe: FSG!
C:\WINDOWS\sys1319.exe: FSG!
C:\WINDOWS\sys5219.exe: FSG!
C:\WINDOWS\sys1027.exe: FSG!
C:\WINDOWS\sys4343.exe: FSG!

Checking the C:\WINDOWS\SYSTEM32 folder
C:\WINDOWS\SYSTEM32\ntdll.dll: .aspack
C:\WINDOWS\SYSTEM32\sys209.exe: FSG!

Checking all directories under the C:\WINDOWS\SYSTEM32\drivers folder

Checking the C:\Dokumente und Einstellungen\All Users\Start Menu\programs\Startup\ folder

Checking the C:\Dokumente und Einstellungen\All Users\Application Data folder

Checking the C:\Dokumente und Einstellungen\Oliver\Start Menu\programs\Startup\ folder

Checking the C:\Dokumente und Einstellungen\Oliver\Application Data folder

Silentrunner:

"Silent Runners.vbs", revision 38.1, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NvCplDaemon" = "RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"CloneCDElbyCDFL" = ""C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"]
"AdaptecDirectCD" = "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" ["Roxio"]
"zBrowser Launcher" = "C:\Programme\Logitech\iTouch\iTouch.exe" ["Logitech Inc."]
"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]
"pwrpdfprsrv.exe" = "C:\Programme\PowerPDF Professional\pwrpdfsrv.exe" ["Visage Software"]
"Omnipage" = "C:\Programme\ScanSoft\OmniPageSE\opware32.exe" ["ScanSoft, Inc"]
"mmtask" = "c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe" [file not found]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{8B3868B4-EBA8-48FA-A19B-E1DFB99066FA}\(Default) = "FCBHOBHO Class"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\FlashCapture\FCBHO.dll" ["Dreamingsoft, Inc."]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Elaborate Bytes\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"]
"{5E44E225-A408-11CF-B581-008029601108}" = "Adaptec DirectCD Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Adaptec\EASYCD~1\DirectCD\Shellex.dll" ["Roxio"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
"AppInit_DLLs" = (value not set)

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Startup items in "Oliver" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]

Enabled Scheduled Tasks:
------------------------

"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]
"Norton AntiVirus - Meinen Computer prüfen - Oliver" -> launches: "C:\PROGRA~1\NORTON~1\Navw32.exe /task:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]
"XoftSpy" -> launches: "C:\Programme\XoftSpy\XoftSpy.exe -t" ["ParetoLogic Inc."]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{FF6B2FD5-093C-4D4F-BB98-5641130A9DE6}\ = "Tra&vel Comparison" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Hotbar\bin\4.3.6.0\HbHostIE.dll" [file not found]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll" ["Sun Microsystems, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Crypkey License, Crypkey License, "crypserv.exe" ["Kenonic Controls Ltd."]
Intel(R) NMS, NMSSvc, "C:\WINDOWS\System32\NMSSvc.exe" ["Intel Corporation"]
Norton AntiVirus Auto-Protect-Dienst, navapsvc, ""C:\Programme\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
Norton AntiVirus Firewall Monitor Service, NPFMntor, ""C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe"" ["Symantec Corporation"]
NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Symantec Core LC, Symantec Core LC, "C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
Symantec SPBBCSvc, SPBBCSvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe"" ["Symantec Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.

und der letzte Schritt:

Datentr„ger in Laufwerk C: ist BOOTDISK
Volumeseriennummer: 3C3B-12DB

Verzeichnis von C:\WINDOWS\system32

02.05.2005 22:56 663'552 wininet.dll
1 Datei(en) 663'552 Bytes

Verzeichnis von C:\WINDOWS\$NtServicePackUninstall$

06.02.2004 18:07 593'408 wininet.dll
1 Datei(en) 593'408 Bytes

Verzeichnis von C:\WINDOWS\ServicePackFiles\i386

04.08.2004 00:57 662'016 wininet.dll
1 Datei(en) 662'016 Bytes

Verzeichnis von C:\WINDOWS\$hf_mig$\KB834707\SP2QFE

29.09.2004 20:42 662'528 wininet.dll
1 Datei(en) 662'528 Bytes

Verzeichnis von C:\WINDOWS\$hf_mig$\KB867282\SP2QFE

27.01.2005 18:12 663'552 wininet.dll
1 Datei(en) 663'552 Bytes

Verzeichnis von C:\WINDOWS\$hf_mig$\KB890923\SP2QFE

10.03.2005 09:47 663'552 wininet.dll
1 Datei(en) 663'552 Bytes

Verzeichnis von C:\WINDOWS\$hf_mig$\KB883939\SP2QFE

02.05.2005 22:58 664'576 wininet.dll
1 Datei(en) 664'576 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB834707$

04.08.2004 00:57 662'016 wininet.dll
1 Datei(en) 662'016 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB867282$

29.09.2004 20:47 662'528 wininet.dll
1 Datei(en) 662'528 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB890923$

27.01.2005 18:13 662'528 wininet.dll
1 Datei(en) 662'528 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB883939$

10.03.2005 10:04 662'528 wininet.dll
1 Datei(en) 662'528 Bytes

Verzeichnis von C:\Programme\Gemeinsame Dateien\Adaptec Shared\System

23.04.1999 22:22 459'024 Wininet.dll
1 Datei(en) 459'024 Bytes

Nochmals besten Dank für Deine Hilfe.

Grüsse Scrouser
----------

Dieser Beitrag wurde am 26.06.2005 um 20:12 Uhr von Scrouser editiert.

26.06.2005, 20:18

Sabina

Ehrenmitglied

Beiträge: 29434

#15 Loesche mit der Killbox:

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Programme\Hotbar\bin\4.3.6.0\HbHostIE.dll
C:\Programme\Hotbar\bin\4.3.6.0
C:\Programme\Hotbar\bin
C:\Programme\Hotbar
C:\WINDOWS\sys5419.exe
C:\WINDOWS\sys3943.exe
C:\WINDOWS\sys256.exe
C:\WINDOWS\sys1357.exe
C:\WINDOWS\sys348.exe
C:\WINDOWS\sys4416.exe
C:\WINDOWS\sys1435.exe
C:\WINDOWS\sys1234.exe
C:\WINDOWS\sys4453.exe
C:\WINDOWS\sys4256.exe
C:\WINDOWS\sys1319.exe
C:\WINDOWS\sys5219.exe
C:\WINDOWS\sys1027.exe
C:\WINDOWS\sys4343.exe
C:\WINDOWS\SYSTEM32\sys209.exe

PC neustarten

http://virus-protect.org/spyware2.html#HotBar
Removaltool:
http://securityresponse.symantec.com/avcenter/FxHotbar.exe

Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 50 Tage raus

einzeln reinkopieren

dann öffnet sich der Editor)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

............................................................

dann arbeite das bitte ab:
http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2 3