Antivirus Gold + wininet.dll (Virus.Win32.Nsag.a)

#31

Zitat

Sabina postete
Hallo@Jean-Luc

Ja wunderbar, war ja auch viel Arbeit

Poste bitte das neue Log vom HijackThis

So, hier nochmal mein neuer Log von Hijack this.
Und sag jetzt nicht, das es da immer noch was gibt

Logfile of HijackThis v1.99.1
Scan saved at 00:05:07, on 03.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
E:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
E:\Programme\eMule.de\emule.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
E:\Programme\Crazy Browser\Crazy Browser\Crazy Browser.exe
E:\Exedateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender8\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B305CE29-8C9C-407F-92AF-5623C559D3EB}: NameServer = 62.72.64.241 62.72.64.237
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Gruss J-L

#32 Hallo@Jean-Luc

Fixe mit dem HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/


PC neustarten

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

•Ad-aware SE Personal
http://virus-protect.org/antispywaretools.html
Laden--> Updaten-->Konfigurieren
http://virus-protect.org/adaware.html
#VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann
__________
MfG Sabina

rund um die PC-Sicherheit

#33 Hallo Sabina, Deine Anweisungen bezüglich der "wininet"-Dateien hab ich ausgeführt. Die "wininet.old" Datei lies sich nicht löschen... Ich hab sie jetzt aus dem "System32"-Ordner auf den Desktop verschoben und hoffe, sie nach einem Neustart löschen zu können. (Konnte nach dem Neustart gelöscht werden...)

Das mit "rkfiles" geht... Du hast Recht ;-) Ich musste nur Geduld haben...
Hier der Inhalt von log.txt:

C:\

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\DivX.dll: PEC2
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\DivX.dll: PEC2

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
Finished
bye

#34 Hallo@Filli

Poste bitte das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#35 Logfile of HijackThis v1.99.1
Scan saved at 12:20:12, on 04.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Bernd Fillauer\Desktop\HiJack\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sal-4u.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sal-4u.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/03d7b59f97f860ac8d20/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102003427886
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

#36 Hallo@Filli

Es ist alles sauber , das hast du gut gemacht

Lade noch den Firefox (Browser) ....links auf meiner Seite (unten in der Signatur)+ mache die Windowsupdates (lade SP2)

und ansonsten alles Gute fuer dich + PC
__________
MfG Sabina

rund um die PC-Sicherheit

#37 Hi Sabina,

das is ja geil vielen vielen Dank...

Das mit dem Firefox hab ich mir schon überlegt, da der ja viel weniger anfällig ist... Hab auch hier im Board schon einiges gelesen und den bei Dir schon runtergeladen

Noch ne Frage zu den ganzen Programmen, die jetzt teilweise auf dem PC installiert sind, z.B. "ewido", etc. soll ich die laufen lassen oder wieder deinstallieren?

LG. Bernd

PS: Was ich eben grad entdeckt hab ist:
Bei Start - Programme - hab ich das Programm "PSGuard" mit drin... Das war doch eins von den Bösen, oder???

#38 das muss natuerlich raus -->Programm "PSGuard"
__________
MfG Sabina

rund um die PC-Sicherheit

#39 Ich hab es jetzt mit "rechte Maustaste und löschen" entfernt...
Mit der Suchfunktion hab ich jetzt noch folgende Datei gefunden:
PSGUARDINSTALL.EXE-1ECEE44C.pf im Verzeichnis: C:\WINDOWS\Prefetch

Was soll ich damit machen??? Löschen?

#40 weg damit

Zitat

PSGUARDINSTALL.EXE-1ECEE44C.pf im Verzeichnis: C:\WINDOWS\Prefetch

__________
MfG Sabina

rund um die PC-Sicherheit

#41 Ok, die Datei ist gelöscht...

Zum Thema Windowsupdate und SP2... SP2 hatte ich schonmal installiert und dann lief "Tobit" nicht mehr... deshalb hab ich es dann wieder deinstalliert...

Ich mach mich jetzt mal ran an die Installation von Firefox...

Vielen vielen Dank nochmal...

#42 Hi Sabina!

Mein Arbeitspc ist wohl im A.... wie es aussieht, du bist quasi meine letzte Hoffnung :-(
Vielen dank schon mal für die Hilfe, ich hab alles laut Anleitung gemacht und hier reinkopiert:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A830-3AC5

Verzeichnis von C:\WINDOWS\system32

07.08.2005 16:44 2.184 wpa.dbl
02.08.2005 23:11 1.621 wppp.html
29.07.2005 15:09 75 LuResult.txt
29.07.2005 09:56 766 spyware.ico
29.07.2005 09:56 4.286 spam.ico
29.07.2005 09:56 2.238 pharm.ico
29.07.2005 09:56 2.238 network.ico
29.07.2005 09:56 2.238 Date.ico
27.07.2005 09:41 1.632 d3d8caps.dat
11.05.2005 16:05 3.621 jupdate-1.5.0_03-b07.log
13.04.2005 03:48 127.078 javaws.exe
13.04.2005 03:48 49.265 jpicpl32.cpl
13.04.2005 02:20 49.250 javaw.exe
13.04.2005 02:19 49.248 java.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A830-3AC5

Verzeichnis von C:\DOKUME~1\markus\LOKALE~1\Temp

07.08.2005 17:59 512 ~DF9616.tmp
05.08.2005 22:16 49.152 ~DF8031.tmp
02.08.2005 23:03 16.384 ~DFCABD.tmp
02.08.2005 21:35 49.152 ~DF72DD.tmp
02.08.2005 21:23 0 7DB2A7.dmp
02.08.2005 21:11 181 clean.reg
02.08.2005 19:37 49.152 ~DF415D.tmp
02.08.2005 19:36 278.528 ~DFCF66.tmp
31.07.2005 14:36 49.152 ~DFC6C6.tmp
31.07.2005 14:19 49.152 ~DF8FF8.tmp
31.07.2005 13:32 49.152 ~DF4E8F.tmp
31.07.2005 13:17 49.152 ~DF1E01.tmp
31.07.2005 11:22 49.152 ~DF3D51.tmp
30.07.2005 12:44 49.152 ~DF97CD.tmp
29.07.2005 16:13 81.920 ~DFBF3C.tmp
29.07.2005 15:29 276.252 SNDUpdater54U.log
29.07.2005 15:28 447 SNDunin.log
29.07.2005 15:25 4.574 IDSinst.LOG
29.07.2005 15:20 2.026.700 PSGuardInstall.exe
29.07.2005 15:09 556 SymSCLiveUpdate.dat
29.07.2005 15:09 89.068 symcprop.dat
29.07.2005 15:06 2.532.468 Norton AntiVirus 2005 7-29-2005 14h58m25s.log
29.07.2005 15:06 5.808 LSInstall.log
29.07.2005 15:05 172 AVSTELiveUpdate.dat
29.07.2005 15:02 172 SSALiveUpdate.dat
29.07.2005 14:59 172 AVRES_OPTRF_LiveUpdate.dat
29.07.2005 11:58 0 11F3F.dmp
28.07.2005 22:21 461.351 DBE2.dmp
28.07.2005 22:21 0 WER1.tmp
28.07.2005 18:24 7.064 java_install_reg.log
27.07.2005 13:20 131.072 ~DF54B3.tmp
26.07.2005 15:37 131.072 ~DF6844.tmp
25.07.2005 18:47 0 E3C9.dmp
21.07.2005 23:15 131.072 ~DF17E3.tmp
21.07.2005 09:04 131.072 ~DFD0BD.tmp
20.07.2005 22:39 113 C974B928.TMP
20.07.2005 17:16 13.164 control.xml
20.07.2005 14:59 263.305 azplugins_1.5.1.jar
20.07.2005 14:58 708 AZU56063.tmp
20.07.2005 14:48 5.790.827 Azureus2.3.0.4.jar
20.07.2005 14:47 3.962 AZU49450.tmp
19.07.2005 13:12 0 18079.tmp
19.07.2005 13:11 0 18074.tmp
19.07.2005 13:10 66 cfin
19.07.2005 13:10 45 cfout.txt
19.07.2005 12:58 412.160 Del78.tmp
19.07.2005 12:57 568 nsn7.tmpioSpecial.ini
15.07.2005 13:18 2.048.000 AcrD.tmp
15.07.2005 10:48 179 Acr2.tmp
15.07.2005 10:48 426 Acr3.tmp
11.07.2005 12:50 205.981 MediaAccessInstPack.exe
09.07.2005 09:22 7.548 h2r3.tmp
08.07.2005 16:20 9.216 MSI9.tmp
04.07.2005 18:40 131.072 ~DF1D1E.tmp
02.07.2005 19:46 0 EPSLog.txt
01.07.2005 20:01 131.072 ~DFD280.tmp
01.07.2005 14:08 287.133.696 fna02968.divx
01.07.2005 09:09 131.072 ~DF216E.tmp
30.06.2005 10:10 3.546 ~WRS0002.tmp
30.06.2005 10:10 16.384 ~WRF0003.tmp
30.06.2005 10:10 526 msoFCDCB.wmf
30.06.2005 10:09 4.608 ~WRS0006.tmp
30.06.2005 10:09 16.384 ~WRF3621.tmp
30.06.2005 10:09 526 mso3421C.wmf
30.06.2005 10:09 285 ~WRD0213.doc
24.06.2005 23:07 7.428.296 BIT3.tmp
23.06.2005 14:52 131.072 ~DFF8BD.tmp
21.06.2005 21:47 9.464 msoDFC6C.emf
21.06.2005 21:47 9.464 msoC350F.emf
21.06.2005 21:44 9.904 msoC19F6.emf
21.06.2005 21:42 9.684 mso68D90.emf
21.06.2005 21:42 9.684 mso71B63.emf
21.06.2005 21:41 9.704 msoD3DBA.emf
21.06.2005 21:41 9.704 mso72645.emf
21.06.2005 21:41 9.860 mso734F4.emf
21.06.2005 21:41 9.860 msoF1AF7.emf
21.06.2005 21:40 9.844 mso541BE.emf
21.06.2005 21:40 9.844 mso325F9.emf
21.06.2005 21:39 9.844 mso59698.emf
21.06.2005 21:38 9.340 mso6A02.emf
21.06.2005 21:31 21.820 mso57767.emf
21.06.2005 21:30 19.900 mso8B56E.emf
21.06.2005 21:25 9.868 mso211D0.emf
21.06.2005 21:12 14.092 msoD0AA3.emf
21.06.2005 21:12 14.368 mso30785.emf
21.06.2005 18:37 21.944 mso93E37.emf
21.06.2005 18:37 9.612 mso263FE.emf
21.06.2005 18:37 9.432 mso45B39.emf
21.06.2005 18:37 21.668 mso262D8.emf
21.06.2005 18:37 21.820 msoA9F0B.emf
21.06.2005 18:37 5.122 mso3FE2D.wmf
21.06.2005 18:37 10.764 msoFF042.wmf
21.06.2005 18:37 19.436 mso966BC.emf
21.06.2005 18:37 9.316 mso7411F.emf
21.06.2005 18:37 667.358 msoF64C6.wmf
21.06.2005 18:37 9.220 msoC2461.emf
21.06.2005 18:37 9.608 msoC6CE0.emf
21.06.2005 18:37 8.876 msoA7873.emf
21.06.2005 18:37 5.658 msoE41D5.wmf
21.06.2005 18:37 5.852 mso5858A.wmf
21.06.2005 18:37 5.676 msoBD944.wmf
21.06.2005 18:37 5.724 mso8D907.wmf
21.06.2005 18:37 9.868 mso7568E.emf
17.06.2005 16:59 0 msg1C.tmp
17.06.2005 09:32 131.072 ~DF54FC.tmp
14.06.2005 09:47 131.072 ~DFB54D.tmp
11.06.2005 13:25 131.072 ~DF43AF.tmp
07.06.2005 12:30 602.112 res8.tmp
07.06.2005 11:34 45.096 _VWUPSRV.EXE
31.05.2005 21:51 131.072 ~DFCD24.tmp
31.05.2005 20:26 257.507 azplugins_1.3.1.jar
31.05.2005 20:22 688 AZU25669.tmp
31.05.2005 20:21 72.127 azupdater_1.7.zip
31.05.2005 20:20 579 AZU1281.tmp
31.05.2005 20:11 5.645.860 Azureus2.3.0.2.jar
31.05.2005 20:10 3.881 AZU63200.tmp
31.05.2005 09:27 131.072 ~DF4939.tmp
26.05.2005 17:52 0 ppt50B.tmp
25.05.2005 16:46 36.864 MSI14A.tmp
25.05.2005 10:57 0 ppt3.tmp
11.05.2005 17:57 276.074 azplatform2_1.8.zip
11.05.2005 16:08 696 AZU57643.tmp
11.05.2005 16:07 5.519.506 Azureus2.3.0.0.jar
11.05.2005 16:04 23.552 java_install.log
11.05.2005 15:59 3.802 AZU64197.tmp
05.05.2005 00:05 0 .tm13.tmp
05.05.2005 00:00 0 .tm12.tmp
04.05.2005 23:57 0 .tmC.tmp
04.05.2005 23:56 0 .tm6.tmp
04.05.2005 23:01 65.536 ~DF1DD3.tmp
03.05.2005 18:42 65.536 ~DFAF83.tmp
29.04.2005 12:24 26.624 ~WRS2971.tmp
29.04.2005 01:24 10.845.384 Install_MSN_Messenger.EXE
28.04.2005 21:06 512 ~DF4CFE.tmp
28.04.2005 21:00 131.072 ~DFDC68.tmp
28.04.2005 20:57 512 ~DF695B.tmp
28.04.2005 20:56 512 ~DF4054.tmp
27.04.2005 17:47 36.864 ~WRS0005.tmp
26.04.2005 17:55 131.072 ~DFBA29.tmp
25.04.2005 11:39 512 ~DFA947.tmp
20.04.2005 20:56 933 ~WRD0003.doc
20.04.2005 20:55 933 ~WRD1081.doc
17.04.2005 14:51 131.072 ~DF4CA6.tmp
06.04.2005 21:02 131.072 ~DF5EFF.tmp


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A830-3AC5

Verzeichnis von C:\WINDOWS

07.08.2005 16:51 466.210 WindowsUpdate.log
07.08.2005 16:44 0 0.log
05.08.2005 23:07 32.550 SchedLgU.Txt
02.08.2005 22:01 184.235 setupact.log
31.07.2005 13:31 266.655 setupapi.log
29.07.2005 16:12 1.374 imsins.BAK
29.07.2005 15:29 13.946 LUINSTALL.LOG
29.07.2005 09:57 24.576 q519376_disk(2).dll
27.07.2005 15:18 54.156 QTFont.qfn
27.07.2005 11:26 551 vp.ini
20.07.2005 17:18 360.847 wmsetup.log
03.07.2005 23:12 696 wiadebug.log
17.06.2005 16:54 4.238 KB887472.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A830-3AC5

Verzeichnis von C:\

07.08.2005 18:03 0 sys.txt
07.08.2005 18:03 7.798 system.txt
07.08.2005 18:02 312 log.txt
07.08.2005 18:02 11.529 systemtemp.txt
07.08.2005 18:01 108.587 system32.txt
07.08.2005 16:43 591.396.864 pagefile.sys
02.08.2005 22:00 5.479 TaskLog.html
PFIND geht nicht – schein down zu sein (zumindest der link)!

Find_it:


Microsoft Windows XP [Version 5.1.2600]
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first


»»»»» lagitamate file's can/will show in this section.

* UPX! C:\WINDOWS\System32\OLEEXT.DLL
* UPX! C:\WINDOWS\DAEMON.DLL
»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»» Checking Windir\svcproc.exe and nail.exe.

»»»»» Checking for System32\DrPMon.dll.

»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A830-3AC5

Verzeichnis von C:\WINDOWS\SYSTEM32

»»»»» Checking for SAHAgent ico files.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A830-3AC5

Verzeichnis von C:\WINDOWS\system32

29.07.2005 09:56 2.238 Date.ico
29.07.2005 09:56 2.238 network.ico
29.07.2005 09:56 2.238 pharm.ico
29.07.2005 09:56 4.286 spam.ico
29.07.2005 09:56 766 spyware.ico
5 Datei(en) 11.766 Bytes
0 Verzeichnis(se), 5.352.030.208 Bytes frei

»»»»»»»»»»»»»»»»»»»»»»»».



Silentrunner:

"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"notepad.exe" = "msmsgs.exe" [MS]
"winlogon.exe" = "msole32.exe" [file not found]
"notepad2.exe" = "popuper.exe" [file not found]
"paint.exe" = "shnlog.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"DU Meter" = "C:\Programme\DU Meter\DUMeter.exe" ["Hagel Technologies"]
"WinPatrol" = "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe" ["BillP Studios"]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"KAVPersonal50" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]
"{ED65AB21-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siemens AG\Data Exchange Software\DESShellExt.dll" ["Siemens AG"]
"{ED65AB22-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile ContextMenuHandler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siemens AG\Data Exchange Software\DESShellExt.dll" ["Siemens AG"]
"{ED65AB23-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile PropertySheetHandler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siemens AG\Data Exchange Software\DESShellExt.dll" ["Siemens AG"]
"{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\btneighborhood.dll" ["WIDCOMM Inc."]
"{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}" = "CorelDRAW Shell-Erweiterungskomponente"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Corel\Graphics10\Draw\CdrViewer\CrlShell100.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\q519376_disk.dll" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "NoActiveDesktopChanges"=dword:00000001
[prevents changes to Active Desktop; removes Web tab from Display Properties|
Desktop (tab)|Customize Desktop... (button)|Desktop Items (window)]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Prohibit changes}

HIJACK WARNING! "NoDispBackgroundPage"=dword:00000001
[removes Display Properties, Desktop (tab)]
{User Configuration|Administrative Templates|Control Panel|Display|
Hide Desktop tab}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\System32\\wppp.html"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0003-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll" ["Sun Microsystems, Inc."]

{6224F700-CBA3-4071-B251-47CB894244CD}\
"ButtonText" = "ICQ"
"MenuText" = "ICQ"
"Exec" = "C:\Programme\ICQ\ICQ.exe" ["ICQ Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
kavsvc, kavsvc, ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"" ["Kaspersky Lab"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "Yes" at the first message box.
---------- (total run time: 311 seconds, including 18 seconds for message boxes)






Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 18:18:00, on 07.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\DU Meter\DUMeter.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Dokumente und Einstellungen\markus\Eigene_Dateien\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.9/index.php?v=3
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.a1.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.univie.ac.at/proxy
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = tk-proxy2.univie.ac.at:3128
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Remote Procedure Call (RPC) Helper (�%AF夶À¨) - Unknown owner - C:\WINDOWS\system32\netbx.exe (file missing)

#43 Du hast unter anderem eine smithfraud.c infection. Da ist wohl auch deine wininet.dll infiziert(Nsag.b), die OLEEXT.DLL ist wohl Trojan-Downloader.Win32.Agent.ns, die KAV beide wohl gefunden haette.

Dein System ist nicht gepatched, je nachdem wie alt die Installation ist, wuerde ich zu neu aufsetzen tendieren.
http://board.protecus.de/t13020.htm
http://board.protecus.de/t16317.htm

Du kannst probeweise ja mal eScan nutzen um den ganzen Schaden abzuschaetzen!
__________
MfG Ralf
SEO-Spam Hunter

#44 Hallo@

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.9/index.php?v=3
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
O23 - Service: Remote Procedure Call (RPC) Helper (�%AF夶À¨) - Unknown owner - C:\WINDOWS\system32\netbx.exe (file missing)

PC neustarten

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\wppp.html
C:\WINDOWS\q519376_disk.dll
C:\WINDOWS\q519376_disk(2).dll
C:\WINDOWS\System32\spyware.ico
C:\WINDOWS\System32\spam.ico
C:\WINDOWS\System32\pharm.ico
C:\WINDOWS\System32\network.ico
C:\WINDOWS\System32\Date.ico
C:\DOKUME~1\markus\LOKALE~1\Temp\PSGuardInstall.exe
C:\DOKUME~1\markus\LOKALE~1\Temp\MediaAccessInstPack.exe
C:\WINDOWS\System32\OLEEXT.DLL
C:\WINDOWS\System32\msmsgs.exe
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\system32\netbx.exe

PC neustarten

Zitat

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
http://www.bleepingcomputer.com/files/reg/smitfraud.reg
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
Oeffne smitRem folder, Doppelklick: RunThis.bat

warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

•AboutBuster(scanne, bis keine Fehlermeldung mehr kommt, zweimal...poste das log vom Scan)
http://virus-protect.org/antispywaretools.html
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus) ausführen.

Ewido-->poste das Log vom Scan
http://virus-protect.org/antivirenfree.html

------------------------------------------------------------------------------
•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

%AF夶À¨

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit

#45 Hi!
Danke für die schnellen Antworten
@ Sabina:

hab alles soweit probiert, aber nach erstellen der fixme.reg und starten im abgesicherten Modus kann ich diese nicht öffnen:
Fehler:
Es ist keine Registrierungsdatei und kann nicht importiert werden. Registrierungsdateien können nur innerhalb des Registrierungseditors importiert werden!

Was tun?
lg,
gimjen