Antivirus Gold- Bin am Verzweifeln

#0
26.06.2005, 18:30
...neu hier

Beiträge: 9
#1 Hallo,
Anstelle meines Hintergrundbildes hab ich eine Nachricht die besagt das mein Computer Infiziert sei. Wenn ich versuche Antivir Gold zu deinstalliere, installiert es sich nach na Zeit von alleine neu. Auch popen ständig Werbeseiten auf( Wie im diesem Augenblick). In blinder Hoffnung hab ich verschiedene Programme verwendet, die dass Problem eventuell zu beheben schienen :

Ad- Aware SE Personal
xp-AntiSpy
Spybot- Search & Destroy
AntiVir XP

Aber alles für die Katz.

Ich bin für jede Art von Hilfe sehr dankbar.

PS: Ich hab leider keine tiefgreifende Computerkenntnisse, also bitte ich für Idoit Antworten ;-)
Seitenanfang Seitenende
26.06.2005, 20:41
Moderator
Avatar joschi

Beiträge: 6466
#2 http://board.protecus.de/t9391.htm ausführen.
Dann sieht man weiter.....
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
27.06.2005, 16:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Hallo@Marlem

1.Poste das Log vom HijackThis

ich kann dir helfen, das sauber zu bekommen, aber du musst alle Tools ausfuehren, um die ich dich bitte.

gehe in die Registry

start-->Ausfuehren--> regedit

HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold<--loeschen

falls du findest: alles loeschen.
C:\Programme\Search Maid
C:\Programme\Virtual Maid
C:\Windows\System32\Log Files
C:\Programme\Security IGuard
C:\Programme\PSGuard
C:\Program%20Files\Make125
C:\Programme\AntivirusGold

PC neustarten

---------------------------------------------------------------------------
Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 50 Tage aus dem sich öffnenden Editor raus

einzeln reinkopieren;)dann öffnet sich der Editor)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

-----------------------------------------------

Pfind
http://www.bleepingcomputer.com/files/pfind.php

laden -- entpacken -- in C:\Pfind -- klicken pfind.bat
nach dem Scan -- C:\pfind.txt -- kopieren/einfügen

------------------------------------------------

Silentrunners
http://virus-protect.org/silentrunner.html

klicke: output file is in text format. -- Doppelklick und es oeffnet sich der Editor-- und poste alles, was angezeigt wird.


---------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.06.2005, 20:13
...neu hier

Themenstarter

Beiträge: 9
#4 Erstmal Danke für die Hilfe,

@Sabina

C:\Programme\Search Maid
C:\Programme\Virtual Maid
C:\Windows\System32\Log Files
C:\Programme\Security IGuard
C:\Programme\PSGuard
C:\Program%20Files\Make125
C:\Programme\AntivirusGold

hab ich nicht finden können. Denke sind schon gelöscht gewesen.

Pfind habe ich angewendet aber die angegebene Domain von Silentrunner lies sich nicht aufbauen. Ich versuchs aber Morgen nochmal.

Ich Poste dann so schnell es geht was der Editor sagt.

Also nochmals danke bis dahin
Seitenanfang Seitenende
27.06.2005, 23:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 poste inzwischen das Log vom HijackThis, bitte

HijackThis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.06.2005, 00:05
...neu hier

Themenstarter

Beiträge: 9
#6 Ok, hier ist dass gesamte Log von HijackThis:Logfile of HijackThis v1.99.1
Scan saved at 00:09:39, on 28.06.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\shnlog.exe
C:\WINNT\System32\intmon.exe
C:\WINNT\popuper.exe
C:\WINNT\System32\msole32.exe
C:\WINNT\System32\intmonp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINNT\System32\internat.exe
C:\WINNT\System32\hookdump.exe
C:\WINNT\Explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Peter Ivens\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\PETERI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\System32\hpDDA9.tmp
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\System32\msmsgs.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [windllsys32.exe] C:\WINNT\System32\windllsys32.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINNT\System32\hookdump.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1014_EN.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.180.155/5/s1//q.chm::/file.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1036_EN.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {77EF6DBF-3929-4081-AF2E-178D387E211C} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1037_EN_XP.cab
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_EN.cab
O18 - Filter: text/html - {1A64A5A2-46CC-459A-991B-5DCB23B6AD16} - C:\WINNT\System32\kgch.dll
O18 - Filter: text/plain - {1A64A5A2-46CC-459A-991B-5DCB23B6AD16} - C:\WINNT\System32\kgch.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\System32\vbsys2.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
Seitenanfang Seitenende
28.06.2005, 00:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 scanne:
Hijacker about:blank - se.dll\sp.html
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\PETERI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\System32\hpDDA9.tmp

O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\System32\msmsgs.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [windllsys32.exe] C:\WINNT\System32\windllsys32.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINNT\System32\hookdump.exe

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O18 - Filter: text/html - {1A64A5A2-46CC-459A-991B-5DCB23B6AD16} - C:\WINNT\System32\kgch.dll
O18 - Filter: text/plain - {1A64A5A2-46CC-459A-991B-5DCB23B6AD16} - C:\WINNT\System32\kgch.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\System32\vbsys2.dll (file missing)

PC neustarten


•KillBox

http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\wp.exe
C:\wp.bmp
C:\bws.exe
C:\WINNT\sites.ini
C:\WINNT\System32\helper.exe
C:\WINNT\system32\dprsx.dll

C:\WINNT\system32\hhk.dll
C:\WINNT\System32\AWM226.exe
C:\WINNT\system32\OLE32VBS.0XE
C:\WINNT\system32\ole32vbs.exe
C:\WINNT\system32\SHNLOG.0XE

C:\WINNT\system32\spyware.ico
C:\WINNT\system32\spam.ico
C:\WINNT\system32\pharm.ico
C:\WINNT\system32\network.ico
C:\WINNT\system32\Date.ico

C:\WINNT\System32\shnlog.exe
C:\WINNT\System32\intmon.exe
C:\WINNT\popuper.exe
C:\WINNT\System32\msole32.exe
C:\WINNT\System32\intmonp.exe
C:\WINNT\System32\hookdump.exe
c:\eied_s7.cab
c:\ex.cab
C:\WINNT\System32\hpDDA9.tmp
C:\WINNT\System32\vbsys2.dll
C:\WINNT\System32\msmsgs.exe
C:\Programme\PSGuard\PSGuard.exe
C:\Programme\PSGuard
C:\WINNT\System32\windllsys32.exe

PC neustarten

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Desktop\General]
"WallpaperFileTime"=-
"WallpaperLocalFileTime"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"Wallpaper"=-
"WallpaperStyle"=-
"NoDispBackgroundPage"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=-
"WallpaperStyle"=-

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"notepad.exe"=-
"notepad2.exe"=-
"winlogon.exe"=-
"paint.exe"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="Search Bar"="http://search.msn.com/intl/searchpane/en-au/prov2.htm"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
""="http://home.microsoft.com/access/autosearch.asp?p=%s"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="http://search.msn.com/spbasic.htm"
"Use Custom Search URL"= dword:00000000
"Use Search Asst"=-

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]
[-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]
[-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]
[-HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}]
[-HKEY_CLASSES_ROOT\CLSID\VMHomepage]
[-HKEY_CLASSES_ROOT\CLSID\VMHomepage.1]
[-HKEY_CLASSES_ROOT\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}]
[-HKEY_CLASSES_ROOT\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}]
[-HKEY_CLASSES_ROOT\VMHomepage]
[-HKEY_CLASSES_ROOT\VMHomepage.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\r]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Intel system tool"=-
"WindowsFZ"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold]
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.


Start--> Ausfuehren-->(reinschreiben: cmd )--> kopiere nur die Eintraege der letzten 50 Tage raus

einzeln reinkopieren: (wenn sich dann der Texteditor automatisch oeffnet--> kopieren-->Text hier einfuegen


cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

----------------------------------------------------------

Pfind
http://www.bleepingcomputer.com/files/pfind.php

laden -- entpacken -- in C:\Pfind -- klicken pfind.bat
nach dem Scan -- C:\pfind.txt -- kopieren/einfügen

------------------------------------------------

Silentrunners
http://virus-protect.org/silentrunner.html

klicke: output file is in text format. -- Doppelklick und es oeffnet sich der Editor-- und poste alles, was angezeigt wird.

----------------------------------------------

ist fuer mich :
Adware/Smitfraud
C:\WINDOWS\System32\wp.bmp

Adware/Popuper
C:\WINDOWS\system32\LogFiles\M6121600.so
C:\WINDOWS\system32\LogFiles\P6171900.so
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.06.2005, 13:21
...neu hier

Themenstarter

Beiträge: 9
#8 Ok der Hintergund ist wieder hergegestellt. Bis hierhin nochmals danke.
Vielleicht kannst du mir nebenbei auch bei folgendem Problem Helfen:
Sobald ich Ordner oder Anwendungen (nicht alle) öffnen will, öffnen sich ca. 10 Fenster vom AntiVrir mit der Meldung: C:\WINNT\System32\OLEADM.DLL
ist dass Tojanische Pferd TR/Agent.eo.1. Aber vielleicht gehts das ja auch noch weg.

Hier Ist das Ergebniss von Pfind:Checking the C:\WINNT folder


Checking the C:\WINNT\SYSTEM32 folder


Checking all directories under the C:\WINNT\SYSTEM32\drivers folder


Checking the C:\Dokumente und Einstellungen\All Users\Start Menu\programs\Startup\ folder



Checking the C:\Dokumente und Einstellungen\All Users\Application Data folder



Checking the C:\Dokumente und Einstellungen\Peter Ivens\Start Menu\programs\Startup\ folder



Checking the C:\Dokumente und Einstellungen\Peter Ivens\Application Data folder



Und hier von SilentRunners:
"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]
"windllsys32.exe" = "C:\WINNT\System32\windllsys32.exe" [file not found]
"Intel system tool" = "C:\WINNT\System32\hookdump.exe" [null data]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [file not found]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"paint.exe" = "shnlog.exe" [null data]
"notepad2.exe" = "popuper.exe" [null data]
"winlogon.exe" = "msole32.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
"RegSvr32" = "C:\WINNT\System32\msmsgs.exe" [null data]
"PSGuard" = "C:\Programme\PSGuard\PSGuard.exe" [file not found]
"AVSCHED32" = "C:\Programme\AVPersonal\AVSched32.EXE /min" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}\(Default) = "VMHomepage Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hpDDA9.tmp" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]
"{2F5AC606-70CF-461C-BFE1-734234536262}" = "WindowBlinds CPL Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbui.dll" ["Stardock.Net, Inc"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"SystemCheck2" = "{54645654-2225-4455-44A1-9F4543D34545}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\vbsys2.dll" [file not found]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
INFECTION WARNING! "AppInit_DLLs" = "wbsys.dll" ["Stardock.Net, Inc"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "Shell" = "Explorer.exe, msmsgs.exe" [MS], [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/html\CLSID = "{1A64A5A2-46CC-459A-991B-5DCB23B6AD16}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\kgch.dll" [file not found]
INFECTION WARNING! text/plain\CLSID = "{1A64A5A2-46CC-459A-991B-5DCB23B6AD16}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\kgch.dll" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "NoActiveDesktopChanges"=dword:00000001
[prevents changes to Active Desktop configuration; removes
Display Properties|Web (tab)]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Prohibit changes}

HIJACK WARNING! "NoDispBackgroundPage"=dword:00000001
[removes Display Properties, Background (tab)]
{User Configuration|Administrative Templates|Control Panel|Display|
Hide Background tab}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINNT\System32\wp.bmp"

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
"FriendlyName" = "Security info v2"
"Source" = "C:\WINNT\screen.html"
"SubscribedURL" = ""


Startup items in "Peter Ivens" & "All Users" startup folders:
-------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "Yahoo! Companion" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll" [file not found]

"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "Yahoo! Companion" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll" [file not found]

"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{6224F700-CBA3-4071-B251-47CB894244CD}\
"ButtonText" = "ICQ Pro"
"MenuText" = "ICQ"
"Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Miscellaneous IE Hijack Points
------------------------------

C:\WINNT\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL = "http://www.msn.de"
[Strings]: SEARCH_PAGE_URL = "http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
[Strings]: SAFESITE_VALUE = "ie.search.msn.de"
[Strings]: MS_START_PAGE_URL = "http://www.msn.de"

Missing lines (compared with English-language version):
[DeleteAutosearch.reg]: 1 line
[Strings]: 4 lines

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
"{855F3B16-6D32-4fe6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
LexBce Server, LexBceS, "C:\WINNT\system32\LEXBCES.EXE" ["Lexmark International, Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "Yes" at the first message box.
---------- (total run time: 90 seconds, including 43 seconds for message boxes)


Ich hoffe ich hab alles richtig gemacht.
Seitenanfang Seitenende
28.06.2005, 15:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 warum fuehrst du nicht alles aus, worum ich dich gebeten habe ?

Gehe in die Registry

Start-->Ausfuehren--> regedit

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\<---die 1 in eine 0 aendern

loeschen:
"FriendlyName" = "Security info v2"
"Source" = "C:\WINNT\screen.html"
"SubscribedURL"

HKLM\Software\Classes\PROTOCOLS\Filter\
text/html\CLSID
=

loeschen:
"{1A64A5A2-46CC-459A-991B-5DCB23B6AD16}

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" =


loeschen:
"C:\WINNT\System32\wp.bmp"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\

loeschen:
{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

loeschen:
{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}\(Default) = "VMHomepage Class"


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"Shell" = "Explorer.exe,


loeschen;
msmsgs.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\


loeschen:
"SystemCheck2" = "{54645654-2225-4455-44A1-9F4543D34545}"


alles noch einmal:

loesche mit der Killbox:


C:\WINNT\System32\windllsys32.exe
C:\WINNT\System32\hookdump.exe
C:\Programme\PSGuard\PSGuard.exe
C:\WINNT\System32\msmsgs.exe
C:\WINNT\System32\hpDDA9.tmp
C:\WINNT\System32\vbsys2.dll
C:\WINNT\System32\wp.bmp
C:\WINNT\screen.html
C:\WINNT\System32\OLEADM.DLL

PC neustarten


Start--> Ausfuehren-->(reinschreiben: cmd )--> kopiere nur die Eintraege der letzten 50 Tage raus

einzeln reinkopieren: (wenn sich dann der Texteditor automatisch oeffnet--> kopieren-->Text hier einfuegen


cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

----------------------------------------------------------

Pfind
http://www.bleepingcomputer.com/files/pfind.php

laden -- entpacken -- in C:\Pfind -- klicken pfind.bat
nach dem Scan -- C:\pfind.txt -- kopieren/einfügen

------------------------------------------------

Silentrunners--> noch einmal
http://virus-protect.org/silentrunner.html

klicke: output file is in text format. -- Doppelklick und es oeffnet sich der Editor-- und poste alles, was angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.06.2005, 16:50
...neu hier

Beiträge: 2
#10 Hallo Sabina,

ich hatte gestern geanu den gleichen Anfall, meinen ersten, auf meinem PC. Total Nervernkrieg brach erst mal bei mir aus und nun habe ich hier bei dir schon tatkräftige Unterstützung in deinen Beiträgen gefunden... bin aber leider nicht alle Problem los geworden. Ich versuch sie mal zu beschreiben:

1. Das Hintergrundbild auf dem Desktop ist nach jedem Start wieder das wie oben beschriebene schwarze Horrorbild einer Website mit "Warning- your computer is infected usw." - in der Systemsteuerung-Anzeige- Desktopelemente anpassen- befindet sich immer "security info v3" - diese lösche ich raus, aber bei jedem Neustart ist sie erneut wieder da.

2. Schafft mich mein Rechner mit seinem Schneckentempo, dass er seit gestern an den Tag legt. Egal ob ich Programme öffne, Ordner öffne... er hängt sich immer auf.. oben im Fenster erscheint dann kurz " Keine Rückmeldung" ebenso das gleiche im Task- Manager aber nach ca. 10- 20 sec läuft dass Programm weiter, aber dass nervt ganz schön und

3. Verselbstständigt sich meine Maus... in unbestimmten Abständen und egal was ich mache, sie zieht sich von allein an den Bildschirmrand oder nach oben... auf jeden Fall bewegt sie sich wie von geisterhand.

Dass kostet mich wirklich Schweißblut, zumal ich wirklich alles versucht habe, was du bisher empfohlen hast,. aber diese Probleme exestieren weiterhin... Bitte Hilf !!!!

Hier mein Log vom Hijackthis, falls es weiterhilft:

Logfile of HijackThis v1.99.1
Scan saved at 16:48:46, on 28.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Dokumente und Einstellungen\Heiko Lünse\Eigene Dateien\Eigene Downloads\Programme\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Dokumente und Einstellungen\Heiko Lünse\Eigene Dateien\Eigene Downloads\Programme\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Dokumente und Einstellungen\Heiko Lünse\Eigene Dateien\Eigene Downloads\Programme\AVGNT.EXE
C:\Dokumente und Einstellungen\Heiko Lünse\Eigene Dateien\Eigene Downloads\Programme\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\hookdump.exe
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Heiko Lünse\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E389B76-1702-43B0-8FFF-07046F351EFA}: NameServer = 205.188.146.145

Gruss
duncanmcloud
Seitenanfang Seitenende
28.06.2005, 16:53
...neu hier

Themenstarter

Beiträge: 9
#11 Hier die Enräge der letzeten 50 Tage:
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3F32-14F8

Verzeichnis von C:\WINNT\system32

28.06.2005 12:27 3.072 intmonp.exe
21.06.2005 16:34 984 d3d8caps.dat
10.06.2005 19:07 766 wecxg32.dll
10.06.2005 19:07 766 sdfup.dll
10.06.2005 19:07 766 xcwer32.dll
10.06.2005 19:07 766 icvbr.dll
10.06.2005 19:07 766 gupd.dll
10.06.2005 19:07 766 cidft.dll
10.06.2005 19:07 766 zxmsn.dll
10.06.2005 19:07 766 cidpoq32.dll
10.06.2005 19:07 766 icnfe.dll
10.06.2005 19:07 766 icqrt.dll
10.06.2005 19:07 2 nthst32.dll
10.06.2005 19:07 351 mtwcnl32.dll
10.06.2005 15:14 100 LuResult.txt
09.06.2005 14:35 1.300.312 MRT.exe




Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3F32-14F8

Verzeichnis von C:\DOKUME~1\PETERI~1\LOKALE~1\Temp

28.06.2005 16:40 1.894 kb.log
28.06.2005 14:54 16.384 ~DF92A7.tmp
28.06.2005 14:54 16.384 ~DF99E9.tmp
28.06.2005 14:47 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}31129.html
28.06.2005 13:33 22.068 SIntfNT.dll
28.06.2005 13:33 40.448 CmdLineExt03.dll
28.06.2005 13:33 12.305 SIntf16.dll
28.06.2005 13:33 4.592 SIntfIcn.ani
28.06.2005 13:33 17.324 SIntf32.dll
28.06.2005 12:37 16.384 ~DF8F3.tmp
27.06.2005 19:25 16.384 ~DFCC55.tmp
27.06.2005 19:25 16.384 ~DFDA52.tmp
26.06.2005 23:02 16.384 ~DFCB46.tmp
26.06.2005 23:02 16.384 ~DFBD1E.tmp
26.06.2005 22:53 10.134 dat3.tmp
26.06.2005 15:10 29.863 AGLanguage.ini
26.06.2005 15:10 2.574.804 cimb.exe
26.06.2005 15:10 36.864 gkgb.exe
25.06.2005 13:57 16.384 ~DFC4E0.tmp
25.06.2005 13:57 16.384 ~DFD3AA.tmp
24.06.2005 23:50 10.134 dat2.tmp
24.06.2005 23:35 10.538 control.xml
24.06.2005 23:35 2.574.804 cmjn.exe
24.06.2005 23:34 36.864 lkfn.exe
24.06.2005 15:25 16.384 ~DFC9FB.tmp
24.06.2005 15:25 16.384 ~DFBEA6.tmp
22.06.2005 20:31 78 E758E1CB.TMP
21.06.2005 16:41 16.384 ~DF734F.tmp
21.06.2005 16:41 16.384 ~DF658A.tmp
20.06.2005 19:12 16.384 ~DFC755.tmp
20.06.2005 19:12 16.384 ~DFD814.tmp
20.06.2005 00:49 16.384 ~DF1162.tmp
20.06.2005 00:49 16.384 ~DFADD.tmp
19.06.2005 22:39 16.384 ~DFD72C.tmp
19.06.2005 22:39 16.384 ~DFC9B1.tmp
19.06.2005 20:24 16.384 ~DFC6EB.tmp
19.06.2005 20:24 16.384 ~DFD70E.tmp
19.06.2005 14:44 16.384 ~DF3D6C.tmp
19.06.2005 14:44 16.384 ~DF2FA2.tmp
18.06.2005 18:57 16.384 ~DFC067.tmp
18.06.2005 18:57 16.384 ~DFC914.tmp
18.06.2005 16:36 16.384 ~DF64B.tmp
18.06.2005 16:36 16.384 ~DFF87E.tmp
17.06.2005 18:00 16.384 ~DFEE4F.tmp
17.06.2005 18:00 16.384 ~DFE2D7.tmp
16.06.2005 13:20 16.384 ~DFE7EE.tmp
16.06.2005 13:20 16.384 ~DFEE5B.tmp
15.06.2005 22:12 16.384 ~DFF075.tmp
15.06.2005 22:12 512 ~DFE690.tmp
15.06.2005 22:12 16.384 ~DFE685.tmp
15.06.2005 20:22 16.384 ~DFDC58.tmp
15.06.2005 20:22 16.384 ~DFCE7E.tmp
15.06.2005 18:36 16.384 ~DF69AA.tmp
15.06.2005 18:36 512 ~DF5D4B.tmp
15.06.2005 18:36 16.384 ~DF5D41.tmp
15.06.2005 02:00 78 DB365884.TMP
14.06.2005 13:44 16.384 ~DFC3AE.tmp
14.06.2005 13:44 16.384 ~DFBA3E.tmp
13.06.2005 17:52 16.384 ~DFC403.tmp
13.06.2005 17:52 16.384 ~DFBCE2.tmp
13.06.2005 14:16 16.384 ~DFBFD8.tmp
13.06.2005 14:16 16.384 ~DFB36B.tmp
12.06.2005 15:49 16.384 ~DF25A2.tmp
12.06.2005 15:49 16.384 ~DF3366.tmp
11.06.2005 13:32 16.384 ~DF6651.tmp
11.06.2005 13:32 512 ~DF5F93.tmp
11.06.2005 13:32 16.384 ~DF5F8A.tmp
10.06.2005 22:54 16.384 ~DFB7B3.tmp
10.06.2005 22:54 16.384 ~DFBE4E.tmp
10.06.2005 22:32 16.384 ~DFC9D0.tmp
10.06.2005 22:32 16.384 ~DFC03C.tmp
10.06.2005 22:32 512 ~DFC048.tmp
10.06.2005 19:29 16.384 ~DFE19B.tmp
10.06.2005 19:29 16.384 ~DFD3CD.tmp
10.06.2005 19:29 512 ~DFD3D7.tmp
10.06.2005 17:17 16.384 ~DFB203.tmp
10.06.2005 17:17 512 ~DFA83F.tmp
10.06.2005 17:17 16.384 ~DFA830.tmp
10.06.2005 17:14 16.384 ~DFB902.tmp
10.06.2005 17:14 16.384 ~DFC75B.tmp
10.06.2005 16:02 16.384 ~DFEF.tmp
10.06.2005 16:02 16.384 ~DF73C.tmp
10.06.2005 15:46 71.680 GLBF.tmp
10.06.2005 15:40 970 TempICQCLImage9319362014903.html
10.06.2005 15:15 16.384 ~DFA35D.tmp
10.06.2005 15:13 10.134 dat17C.tmp
10.06.2005 15:09 422 MSI176a5.LOG
10.06.2005 15:08 0 ~16B.tmp
10.06.2005 14:53 258.730 SNDUpdater54U.log
10.06.2005 14:53 162 SNDunin.log
10.06.2005 14:52 970 TempICQCLImage9319362005202.html
10.06.2005 14:52 35 IDSinst.LOG
10.06.2005 14:49 16.384 ~DFEC1B.tmp
10.06.2005 14:47 970 TempICQCLImage9319362013640.html
10.06.2005 14:42 16.384 ~DF10CE.tmp
10.06.2005 14:41 970 TempICQCLImage9319362013452.html
10.06.2005 14:30 970 TempICQCLImage9319362003114.html
10.06.2005 14:30 512 ~DFEA4.tmp
10.06.2005 14:30 16.384 ~DFE96.tmp
10.06.2005 04:20 72 9DF810CC.TMP
10.06.2005 04:18 60 B623B5B8.TMP
09.06.2005 16:07 16.384 ~DFFB92.tmp
09.06.2005 15:44 970 TempICQCLImage9319362004482.html
09.06.2005 12:17 16.384 ~DF2BD.tmp
09.06.2005 12:14 970 TempICQCLImage9319362005030.html
08.06.2005 21:27 16.384 ~DFBEF.tmp
08.06.2005 21:22 970 TempICQCLImage9319362017450.html
08.06.2005 19:27 16.384 ~DF3B.tmp
08.06.2005 19:27 16.384 ~DFC99D.tmp
08.06.2005 19:26 970 TempICQCLImage9319362021303.html
08.06.2005 19:21 422 MSI1ea04.LOG
08.06.2005 19:21 0 ~3FF.tmp
08.06.2005 19:16 422 MSIce402.LOG
08.06.2005 19:15 0 ~2B5.tmp
08.06.2005 19:14 422 MSIa7cd5.LOG
08.06.2005 19:13 0 ~169.tmp
08.06.2005 18:53 978 TempICQMagicNumber_9312663911572.html
08.06.2005 17:39 16.384 ~DFD71.tmp
08.06.2005 17:32 970 TempICQCLImage9319362028404.html
08.06.2005 15:12 16.384 ~DFA22.tmp
08.06.2005 15:12 16.384 ~DFE028.tmp
08.06.2005 15:11 970 TempICQCLImage9319362022539.html
08.06.2005 14:46 978 TempICQMagicNumber_9312663907734.html
08.06.2005 11:15 16.384 ~DF44A7.tmp
08.06.2005 11:15 16.384 ~DF9C7.tmp
08.06.2005 11:15 978 TempICQMagicNumber_9312663929629.html
08.06.2005 11:12 970 TempICQCLImage9319362022449.html
07.06.2005 22:02 16.384 ~DFF939.tmp
07.06.2005 21:41 970 TempICQCLImage9319362003034.html
07.06.2005 21:37 1.216 Outlook Startup.Log
07.06.2005 11:34 45.096 _VWUPSRV.EXE
05.06.2005 22:27 16.384 ~DF778.tmp
05.06.2005 21:47 970 TempICQCLImage9319362001674.html
04.06.2005 15:30 16.384 ~DFFC7E.tmp
04.06.2005 15:29 970 TempICQCLImage9319362028458.html
01.06.2005 18:26 16.384 ~DF813.tmp
01.06.2005 18:25 970 TempICQCLImage9319362027894.html
31.05.2005 22:40 16.384 ~DFFA9B.tmp
31.05.2005 22:16 970 TempICQCLImage9319362012790.html
31.05.2005 21:32 16.384 ~DFFC42.tmp
31.05.2005 19:56 970 TempICQCLImage9319362005028.html
31.05.2005 18:10 16.384 ~DFE4BB.tmp
31.05.2005 18:10 16.384 ~DF141F.tmp
30.05.2005 22:10 16.384 ~DFFD23.tmp
30.05.2005 20:00 16.384 ~DF57CD.tmp
30.05.2005 19:46 512 ~DFFDC0.tmp
30.05.2005 19:45 512 ~DF9F1.tmp
30.05.2005 19:45 16.384 ~DF9C9.tmp
30.05.2005 19:42 16.384 ~DFDF9.tmp
30.05.2005 19:33 512 ~DFF5CD.tmp
30.05.2005 19:33 16.384 ~DFF53B.tmp
30.05.2005 14:38 16.384 ~DFD2C.tmp
30.05.2005 14:38 16.384 ~DF48FC.tmp
25.05.2005 12:56 16.384 ~DFA90.tmp
25.05.2005 12:56 16.384 ~DFB987.tmp
24.05.2005 19:15 16.384 ~DF9EB.tmp
24.05.2005 19:15 16.384 ~DF71E7.tmp
24.05.2005 10:49 16.384 ~DFFFF7.tmp
23.05.2005 19:34 16.384 ~DF646.tmp
21.05.2005 22:39 16.384 ~DFEB90.tmp
20.05.2005 23:13 16.384 ~DFF730.tmp
20.05.2005 21:52 16.384 ~DFF722.tmp
20.05.2005 21:10 16.384 ~DF3E1.tmp
20.05.2005 18:27 16.384 ~DFE893.tmp
19.05.2005 13:36 16.384 ~DFE227.tmp
19.05.2005 13:36 16.384 ~DFD49A.tmp
18.05.2005 20:28 16.384 ~DFC2F.tmp
18.05.2005 20:28 16.384 ~DFE02C.tmp
14.05.2005 15:23 16.384 ~DFDDA8.tmp
13.05.2005 22:56 16.384 ~DFDE68.tmp
13.05.2005 19:01 16.384 ~DFC507.tmp
12.05.2005 14:14 16.384 ~DFD819.tmp
11.05.2005 22:04 16.384 ~DFDE0D.tmp
11.05.2005 21:40 16.384 ~DFF7CC.tmp
11.05.2005 21:40 16.384 ~DF5886.tmp
11.05.2005 21:40 16.384 ~DF7C49.tmp


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3F32-14F8

Verzeichnis von C:\WINNT

28.06.2005 16:41 32.504 SchedLgU.Txt
28.06.2005 14:54 365.772 ShellIconCache
28.06.2005 13:05 26.870 ntbtlog.txt
26.06.2005 17:28 23.730 ocgen.log
26.06.2005 17:28 56.047 comsetup.log
26.06.2005 17:28 77.592 iis5.log
26.06.2005 17:28 1.968 imsins.log
26.06.2005 17:28 1.780 ockodak.log
25.06.2005 00:12 1.942 imsins.BAK
24.06.2005 23:35 134.495 wmsetup.log
24.06.2005 23:31 369.923 setupapi.log
21.06.2005 17:48 593 win.ini
15.06.2005 20:19 10 popcinfo.dat
10.06.2005 15:27 72 wb.ini
10.06.2005 15:14 357 SIERRA.INI
30.05.2005 22:45 461 LEXSTAT.INI



Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3F32-14F8

Verzeichnis von C:\

28.06.2005 16:51 0 sys.txt
28.06.2005 16:49 4.655 system.txt
28.06.2005 16:47 17.150 systemtemp.txt
28.06.2005 16:45 85.448 system32.txt
28.06.2005 16:42 201.326.592 PAGEFILE.SYS
28.06.2005 13:20 651 pfind.txt
24.06.2005 23:35 760 dltrace.Log


Und hier die Textdatei nach dem Scan:

Files found with this application may be legitimate.
Only remove files that you know are malware related.
Checking the C:\WINNT folder


Checking the C:\WINNT\SYSTEM32 folder


Checking all directories under the C:\WINNT\SYSTEM32\drivers folder


Checking the C:\Dokumente und Einstellungen\All Users\Start Menu\programs\Startup\ folder



Checking the C:\Dokumente und Einstellungen\All Users\Application Data folder



Checking the C:\Dokumente und Einstellungen\Peter Ivens\Start Menu\programs\Startup\ folder



Checking the C:\Dokumente und Einstellungen\Peter Ivens\Application Data folder



Und der Scan von SilentRunners:

"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [file not found]
"WindowBlinds" = "C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe auto" ["Stardock Systems, Inc"]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /minˆ–" ["H+BEDV Datentechnik GmbH"]
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
"AVSCHED32" = "C:\Programme\AVPersonal\AVSched32.EXE /min" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]



PS: Wie schon gesagt ist der Hintergrund wieder hergestellt, und AntiVir hat auch aufgehört sich bei jeder Aktion 10mal zu melden
Seitenanfang Seitenende
28.06.2005, 23:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo@Marlem

Sei nicht so ungeduldig...der PC ist noch nicht sauber ;)

Zitat

Troj/StartPa-KV

Das Installationsprogramm für Troj/StartPa-KV erstelllt die folgenden Dateien im Windows-Systemordner:

cidft.dll, cidpoq32.dll, gupd.dll, icnfe.dll, icqrt.dll, icvbr.dll, mtjpgb.dll,
mtjpgh.dll, mtwcnl32.dll, mtwirl.dll, sdfup.dll, wecxg32.dll, xcwer32.dll und
zxmsn.dll.
•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\system32\intmonp.exe
C:\WINNT\system32\wecxg32.dll
C:\WINNT\system32\sdfup.dll
C:\WINNT\system32\xcwer32.dll
C:\WINNT\system32\icvbr.dll
C:\WINNT\system32\gupd.dll
C:\WINNT\system32\cidft.dll
C:\WINNT\system32\zxmsn.dll
C:\WINNT\system32\cidpoq32.dll
C:\WINNT\system32\icnfe.dll
C:\WINNT\system32\icqrt.dll
C:\WINNT\system32\nthst32.dll
C:\WINNT\system32\mtwcnl32.dll

C:\DOKUME~1\PETERI~1\LOKALE~1\Temp\cmjn.exe
C:\DOKUME~1\PETERI~1\LOKALE~1\Temp\cimb.exe
C:\DOKUME~1\PETERI~1\LOKALE~1\Temp\gkgb.exe
C:\DOKUME~1\PETERI~1\LOKALE~1\Temp\lkfn.exe

PC neustarten


CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html



dann will ich noch mal die Daten sehen von:
Verzeichnis von C:\WINNT\system32

Pfind
http://www.bleepingcomputer.com/files/pfind.php

laden -- entpacken -- in C:\Pfind -- klicken pfind.bat
nach dem Scan -- C:\pfind.txt -- kopieren/einfügen


#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.06.2005, 13:35
...neu hier

Themenstarter

Beiträge: 9
#13 Die C:\WINNT... und C:\DOKUME... Dateien hab ich mit KillBox gelöscht und PC neu gestartet.

Der Hyperlynk zum CCleaner funktionierte nicht ( Downloadseite baute sich nicht auf) deshalb hab ich die deutsche Version von filehippo.com genommen.

Hier die Daten von C:\WINNT\system32:

Files found with this application may be legitimate.
Only remove files that you know are malware related.
Checking the C:\WINNT folder


Checking the C:\WINNT\SYSTEM32 folder


Checking all directories under the C:\WINNT\SYSTEM32\drivers folder


Checking the C:\Dokumente und Einstellungen\All Users\Start Menu\programs\Startup\ folder



Checking the C:\Dokumente und Einstellungen\All Users\Application Data folder



Checking the C:\Dokumente und Einstellungen\Peter Ivens\Start Menu\programs\Startup\ folder



Checking the C:\Dokumente und Einstellungen\Peter Ivens\Application Data folder



Und hier der Log von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 13:40:09, on 29.06.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\explorer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINNT\System32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Peter Ivens\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1014_EN.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.180.155/5/s1//q.chm::/file.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1036_EN.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {77EF6DBF-3929-4081-AF2E-178D387E211C} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1037_EN_XP.cab
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_EN.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE


Und noch ne Frage: Was genau kannst du aus diesem Log eigentlich erkennen? Ich versteh da nur Bahnhof
Seitenanfang Seitenende
29.06.2005, 13:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Jetzt ist schon wieder was neues drauf..... (bitte waehrend der Reinigung nicht soviel surfen, vor allem nicht auf dubiosen Seiten....)

C:\WINNT\system32\intmonp.exe <--ist das wirklich geloescht ??????????

Fixe mit dem HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1014_EN.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.180.155/5/s1//q.chm::/file.exe
O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1036_EN.cab

neustarten


mache einen Onlinescan mit panda+ berichte (wenn der Antivirus "meckert"--> nicht beachten ;)
http://virus-protect.org/onlinescan.html

+ poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.06.2005, 13:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Hallo@duncanmcloud

C:\WINDOWS\System32\hookdump.exe (loeschen)...vorher im Taskmanager den Prozess beenden)

Find_It__s.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip
1. Unzip/extract the files inside to a folder on your desktop.
2. Open the folder. Double click on FindIt's.bat and wait for Notepad to open a text file. It will take a while so please be patient ...
Poste bitte das Log vom Scann

Pfind
http://www.bleepingcomputer.com/files/pfind.php

laden -- entpacken -- in C:\Pfind -- klicken pfind.bat
nach dem Scan -- C:\pfind.txt -- kopieren/einfügen

------------------------------------------------

Silentrunners
http://virus-protect.org/silentrunner.html

klicke: output file is in text format. -- Doppelklick und es oeffnet sich der Editor-- und poste alles, was angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: