Home » Spyware & Browser Hijacker Support Forum » Virus/Trojaner ? » Themenansicht

Virus/Trojaner ?
#0
03.07.2005, 14:43
fohlenpower
Member

Beiträge: 13
#1 Hallo, ich habe wahrscheinlich seit ein paar Tagen ein Virus auf dem Rechner: Windows XP Home Edition 2002, Internet Explorer 6.0. Ich habe schon mit Norton Antivirus mein System überprüfen lassen und er meldet mir auch immer, dass der Rechner infiziert ist, aber er bekommt den Virus nicht weg. Beim Hochfahren öffnet sich jetzt immer automatisch der Internet explorer mit der Seite about:home und eine weitere Fehlermeldung zu Norton kommt hoch. Was soll ich machen, über schnelle Hilfe würde ich mich sehr freuen. Danke Petra.

Ich habe jetzt gerade Hijack geladen mit folgendem Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 13:00:58, on 03.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\msit32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Klaus Wagner\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\stkef.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\stkef.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\stkef.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\stkef.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\stkef.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\stkef.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\stkef.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {9F1DF47B-EB7B-6789-0D82-E2A50C229205} - C:\WINDOWS\ntqw.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [msit32.exe] C:\WINDOWS\system32\msit32.exe
O4 - HKLM\..\RunOnce: [crnr32.exe] C:\WINDOWS\crnr32.exe
O4 - HKLM\..\RunOnce: [appuf.exe] C:\WINDOWS\system32\appuf.exe
O4 - HKLM\..\RunOnce: [mstv.exe] C:\WINDOWS\system32\mstv.exe
O4 - HKLM\..\RunOnce: [iebr.exe] C:\WINDOWS\system32\iebr.exe
O4 - HKLM\..\RunOnce: [ipyc.exe] C:\WINDOWS\system32\ipyc.exe
O4 - HKLM\..\RunOnce: [mfcco.exe] C:\WINDOWS\mfcco.exe
O4 - HKLM\..\RunOnce: [addmm.exe] C:\WINDOWS\addmm.exe
O4 - HKLM\..\RunOnce: [sysjj32.exe] C:\WINDOWS\sysjj32.exe
O4 - HKLM\..\RunOnce: [javaoo32.exe] C:\WINDOWS\javaoo32.exe
O4 - HKLM\..\RunOnce: [winjz32.exe] C:\WINDOWS\system32\winjz32.exe
O4 - HKLM\..\RunOnce: [apiro.exe] C:\WINDOWS\system32\apiro.exe
O4 - HKLM\..\RunOnce: [apipf.exe] C:\WINDOWS\system32\apipf.exe
O4 - HKLM\..\RunOnce: [crjn32.exe] C:\WINDOWS\system32\crjn32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HPAiODevice(hp officejet v series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - www.20x2p.com/8da41870/enter.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119723572472
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - asp04.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} - install.download-intern.de/InstallationsAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD5EB142-DAE7-40AE-99D7-E0BCD0A1674F}: NameServer = 62.72.64.237 62.72.64.241
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\crnr32.exe" /s (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
03.07.2005, 15:11
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@fohlenpower

Laden+ konfigurieren (Antivirus)...noch nicht scannen (nur den Installationsscan abwarten)
http://virus-protect.org/antivirus.html

•AboutBuster...noch nicht scannen (entpacke auf dem Desktop)
http://virus-protect.org/antispywaretools.html


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä.#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä.#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä.#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ 11Fßä.#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä.#·ºÄÖ`I]

[-HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\sw]
[-HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\se]
[-HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\hsa]


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\stkef.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\stkef.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\stkef.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\stkef.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\stkef.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\stkef.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\stkef.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {9F1DF47B-EB7B-6789-0D82-E2A50C229205} - C:\WINDOWS\ntqw.dll
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [msit32.exe] C:\WINDOWS\system32\msit32.exe
O4 - HKLM\..\RunOnce: [crnr32.exe] C:\WINDOWS\crnr32.exe
O4 - HKLM\..\RunOnce: [appuf.exe] C:\WINDOWS\system32\appuf.exe
O4 - HKLM\..\RunOnce: [mstv.exe] C:\WINDOWS\system32\mstv.exe
O4 - HKLM\..\RunOnce: [iebr.exe] C:\WINDOWS\system32\iebr.exe
O4 - HKLM\..\RunOnce: [ipyc.exe] C:\WINDOWS\system32\ipyc.exe
O4 - HKLM\..\RunOnce: [mfcco.exe] C:\WINDOWS\mfcco.exe
O4 - HKLM\..\RunOnce: [addmm.exe] C:\WINDOWS\addmm.exe
O4 - HKLM\..\RunOnce: [sysjj32.exe] C:\WINDOWS\sysjj32.exe
O4 - HKLM\..\RunOnce: [javaoo32.exe] C:\WINDOWS\javaoo32.exe
O4 - HKLM\..\RunOnce: [winjz32.exe] C:\WINDOWS\system32\winjz32.exe
O4 - HKLM\..\RunOnce: [apiro.exe] C:\WINDOWS\system32\apiro.exe
O4 - HKLM\..\RunOnce: [apipf.exe] C:\WINDOWS\system32\apipf.exe
O4 - HKLM\..\RunOnce: [crjn32.exe] C:\WINDOWS\system32\crjn32.exe
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - www.20x2p.com/8da41870/enter.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} - install.download-intern.de/InstallationsAssistent.ocx
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\crnr32.exe" /s (file missing)


PC neustarten
http://www.tu-berlin.de/www/software/virus/savemode.shtml
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

Die Datei "fixme.reg" auf dem Desktop doppelklicken.

mache im abgesicherten modus einen Komplettscan mit Antivirus und •AboutBuster
(hierbei scanne so oft, bis keine Fehlermeldung mehr kommt)

-------------------------------------------------------------------------
CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+ poste die Reports von den zwei scannern + das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.07.2005, 22:28
fohlenpower
Member

Themenstarter

Beiträge: 13
#3 Hallo Sabina,
ich habe jetzt alles so gut es ging (ich bin kein Spezi) durchgeführt:

- About Buster habe ich nicht installiert bekommen
- fixme.reg auf dem desktop: o.k.
- Hijackthis - fix checked: o.k. aber nicht alle Einträge gefunden
- neugestartet, F 8 abgesicherter modus
- fixme.reg ausgeführt
- -Scan mit Norton Antivirus durchgeführt: 20 Fehler behoben, beim 2. Scan fehlerfrei
- beim Versuch, auf die Seite nikita...ie.html zu kommen, 2 Fenster mit Virusmeldungen bekommen (ich dachte, Rechner ist jetzt fehlerfrei!?!)
- Alle Temp-Dateien nach Anweisung gelöscht

Hier das aktuelle HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 22:23:39, on 03.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntpu.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Klaus Wagner\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\furxh.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\furxh.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\furxh.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\furxh.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\furxh.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\furxh.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\furxh.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {29FA1517-581C-A5D9-395F-39C0C4484938} - C:\WINDOWS\javanq32.dll
O2 - BHO: Class - {3E9299CE-589B-4D8F-1BB7-1BB410CBAC8C} - C:\WINDOWS\ipfh32.dll
O2 - BHO: Class - {588BC16B-2124-BE3A-2619-785389967943} - C:\WINDOWS\system32\winmh.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [ntpu.exe] C:\WINDOWS\system32\ntpu.exe
O4 - HKLM\..\RunOnce: [ipvj.exe] C:\WINDOWS\ipvj.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HPAiODevice(hp officejet v series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119723572472
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD5EB142-DAE7-40AE-99D7-E0BCD0A1674F}: NameServer = 62.72.64.237 62.72.64.241
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\crnr32.exe" /s (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Wie geht es jetzt weiter, der Virus scheint ja noch nicht runter zu sein?

Gruss

Petra
Seitenanfang Seitenende
03.07.2005, 23:20
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ich wusste nicht, dass eine Virenmeldung kommt, wenn man auf meine Seite geht....was wird denn vom Symantec da gemeckert? --> genaue Meldung ?
http://virus-protect.org/temp.html

du musst den Antivirus laden
http://virus-protect.org/antivirus.html

und About Buster
http://www.spychecker.com/program/aboutbuster.html

ccleaner.
http://www.ccleaner.com/ccdownload.asp

, anders bekommst du die Sachen nicht weg, es sei denn ich suche alles manuell raus..............................
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.07.2005, 23:21
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Download Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Doppelklick: regsrch.vbs

kopiere rein:

11Fßä#·ºÄÖ`I

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Meldung von (Symantec) Warnmeldung: bösartiges skript entdeckt -- ignorieren
Object: Windows Script Host Shell Object Activity: Run
File: C:\Dokumente und E..\RegSrch.vbs



#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\furxh.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\furxh.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\furxh.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\furxh.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\furxh.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\furxh.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\furxh.dll/sp.html#37049
R3 - Default URLSearchHook is missing

O2 - BHO: Class - {29FA1517-581C-A5D9-395F-39C0C4484938} - C:\WINDOWS\javanq32.dll
O2 - BHO: Class - {3E9299CE-589B-4D8F-1BB7-1BB410CBAC8C} - C:\WINDOWS\ipfh32.dll
O2 - BHO: Class - {588BC16B-2124-BE3A-2619-785389967943} - C:\WINDOWS\system32\winmh.dll
O4 - HKLM\..\Run: [ntpu.exe] C:\WINDOWS\system32\ntpu.exe
O4 - HKLM\..\RunOnce: [ipvj.exe] C:\WINDOWS\ipvj.exe

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\crnr32.exe" /s (file missing)


------------------------------------------------------------------------

C:\WINDOWS\javanq32.dll
C:\WINDOWS\crnr32.exe
C:\WINDOWS\system32\winmh.dll
C:\WINDOWS\javanq32.dll
C:\WINDOWS\ipfh32.dll


Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 40 Tage aus dem sich öffnenden Editor raus

einzeln reinkopieren;)dann öffnet sich der Editor)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2005, 18:04
fohlenpower
Member

Themenstarter

Beiträge: 13
#6 Ergebnis von Suche regsrch.vbx:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "11Fßä#·ºÄÖ`I" 04.07.2005 17:46:09

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000\Control]
"ActiveService"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000\Control]
"ActiveService"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Enum]
Seitenanfang Seitenende
04.07.2005, 18:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä.#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä.#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä.#·ºÄÖ`I] [-HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\sw]
[-HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\se]
[-HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\hsa]

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\furxh.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\furxh.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\furxh.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\furxh.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\furxh.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\furxh.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\furxh.dll/sp.html#37049
R3 - Default URLSearchHook is missing

O2 - BHO: Class - {29FA1517-581C-A5D9-395F-39C0C4484938} - C:\WINDOWS\javanq32.dll
O2 - BHO: Class - {3E9299CE-589B-4D8F-1BB7-1BB410CBAC8C} - C:\WINDOWS\ipfh32.dll
O2 - BHO: Class - {588BC16B-2124-BE3A-2619-785389967943} - C:\WINDOWS\system32\winmh.dll
O4 - HKLM\..\Run: [ntpu.exe] C:\WINDOWS\system32\ntpu.exe
O4 - HKLM\..\RunOnce: [ipvj.exe] C:\WINDOWS\ipvj.exe

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\crnr32.exe" /s (file missing)



PC neustarten
http://www.tu-berlin.de/www/software/virus/savemode.shtml
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

Die Datei "fix.reg" auf dem Desktop doppelklicken. (und bestaetigen, dass es der Registry beigefuegt wird)

neustarten

scanne noch mal mit.
Download Registry Search Tool

kopiere rein:

11Fßä#·ºÄÖ`I

--------------------

Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 40 Tage aus dem sich öffnenden Editor raus

einzeln reinkopieren;)dann öffnet sich der Editor)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

abkopieren, was erscheint (ca. 40 Tage), DOS schliessen
wieder cmd eingeben, reinkopieren:

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit


abkopieren, was erscheint (ca. 40 Tage), DOS schliessen
wieder cmd eingeben, reinkopieren:

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

abkopieren, was erscheint (ca. 40 Tage), DOS schliessen
wieder cmd eingeben, reinkopieren:

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.01.2006, 19:10
Jaques
...neu hier

Beiträge: 7
#8 Hallo,

mein Virusprogramm sagt mir Trojaner Rootkit Sma.a

Das ist die Hijack logfile..
wer kann mir sagen was ich mit killbox löschen muß?

Grüße Jaques

Danke im voraus

Logfile of HijackThis v1.99.1
Scan saved at 16:50:38, on 12.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\eMule\emule.exe
C:\Programme\The Bat!\thebat.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\XPcleanv5\XPclean.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\DfrgNtfs.exe
C:\WINDOWS\system32\DfrgNtfs.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\petra pan\Desktop\Anti Virus\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: The Bat!.LNK = C:\Programme\The Bat!\thebat.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
Seitenanfang Seitenende
13.01.2006, 01:09
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Jaques

LSPfix
http://www.spychecker.com/program/lspfix.html
schreibe, welche dll du findest

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien (3 Monate vom Datum her genuegen)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.01.2006, 12:20
Jaques
...neu hier

Beiträge: 7
#10 Hallo Sabina,
das ist der erste Text

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D81A-B42C

Verzeichnis von C:\WINDOWS\system32

12.01.2006 20:43 166.712 FNTCACHE.DAT
12.01.2006 15:57 2.206 wpa.dbl
04.01.2006 19:46 2.836.320 MRT.exe
29.12.2005 13:08 16.832 amcompat.tlb
29.12.2005 13:08 23.392 nscompat.tlb
29.12.2005 03:54 280.064 gdi32.dll
17.12.2005 15:20 8.464 sporder.dll
04.12.2005 14:22 311.740 perfh009.dat
04.12.2005 14:22 40.128 perfc009.dat
04.12.2005 14:22 316.924 perfh007.dat
04.12.2005 14:22 48.354 perfc007.dat
04.12.2005 14:22 722.222 PerfStringBackup.INI
04.12.2005 13:46 176.167 rmoc3260.dll
04.12.2005 13:45 5.632 pndx5032.dll
04.12.2005 13:45 6.656 pndx5016.dll
04.12.2005 13:44 278.528 pncrt.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
30.11.2005 23:40 167.936 websbeio.exe
30.11.2005 23:40 45.056 dmbiantz.dll
30.11.2005 23:40 499.712 spmiwave.exe
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll

und das der zweite(hoffe das ist richtig so)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D81A-B42C

Verzeichnis von C:\WINDOWS

13.01.2006 11:40 449 wiadebug.log
12.01.2006 21:12 50 wiaservc.log
12.01.2006 20:57 0 0.log
12.01.2006 20:57 1.730.713 WindowsUpdate.log
12.01.2006 20:57 2.048 bootstat.dat
12.01.2006 20:56 32.566 SchedLgU.Txt
12.01.2006 19:56 77.063 ntdtcsetup.log
12.01.2006 19:56 449.087 iis6.log
12.01.2006 19:56 124.694 comsetup.log
12.01.2006 19:56 163.700 tsoc.log
12.01.2006 19:56 20.204 ocmsn.log
12.01.2006 19:56 17.332 tabletoc.log
12.01.2006 19:56 1.374 imsins.log
12.01.2006 19:56 25.707 KB899587.log
12.01.2006 19:56 59.605 netfxocm.log
12.01.2006 19:56 25.375 medctroc.Log
12.01.2006 19:56 187.662 ocgen.log
12.01.2006 19:56 17.623 msgsocm.log
12.01.2006 19:56 330.969 FaxSetup.log
12.01.2006 19:56 118.934 msmqinst.log
12.01.2006 19:56 17.410 updspapi.log
12.01.2006 19:55 24.986 KB901017.log
12.01.2006 19:55 25.331 KB899591.log
12.01.2006 19:55 25.499 KB896424.log
12.01.2006 19:54 24.827 KB893756.log
12.01.2006 19:54 24.019 KB896423.log
12.01.2006 19:53 19.369 KB910437.log
12.01.2006 19:53 26.603 KB905915.log
12.01.2006 19:52 25.447 KB902400.log
12.01.2006 19:51 17.420 KB899589.log
12.01.2006 19:50 17.662 KB905414.log
12.01.2006 19:50 17.383 KB900725.log
12.01.2006 19:49 14.738 KB912919.log
12.01.2006 19:48 13.928 KB904706.log
12.01.2006 19:48 14.542 KB905749.log
12.01.2006 19:48 14.285 KB894391.log
12.01.2006 19:47 11.750 KB908519.log
12.01.2006 19:35 627.147 setupapi.log
12.01.2006 15:04 339 nsw.log
11.01.2006 10:17 49 NeroDigital.ini
10.01.2006 11:05 54.156 QTFont.qfn
29.12.2005 13:50 63.315 wmsetup.log
29.12.2005 13:13 380 wmsetup10.log
29.12.2005 13:05 316.640 WMSysPr9.prx
27.12.2005 19:53 183.296 NDNuninstall7_14.exe
18.12.2005 22:17 192 winamp.ini
17.12.2005 18:08 27.827 KB893803v2.log
17.12.2005 18:07 0 setuperr.log
17.12.2005 17:38 402.206.720 MEMORY.DMP
17.12.2005 15:36 98 acc1.txt
17.12.2005 15:23 182.272 NDNuninstall6_98.exe
17.12.2005 15:20 50.688 NDNuninstall6_38.exe
11.12.2005 19:11 1.409 QTFont.for
06.12.2005 13:04 0 Sti_Trace.log
04.12.2005 14:13 3.280 KB893803v2Uninst.log
04.12.2005 13:58 277 system.ini
30.11.2005 23:40 24 p7goK
11.08.2005 16:05 99.970 UninstallFirefox.exe
11.08.2005 16:05 7.087 mozver.dat
08.08.2005 22:22 62 setup.log
13.07.2005 11:07 10.035 KB901214.log
13.07.2005 11:07 3.811 KB903235.log


und das der dritte

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D81A-B42C

Verzeichnis von C:\

13.01.2006 12:14 0 sys.txt
13.01.2006 12:13 7.524 system.txt
13.01.2006 12:13 136 systemtemp.txt
13.01.2006 12:13 96.534 system32.txt
12.01.2006 20:57 402.182.144 hiberfil.sys
12.01.2006 20:57 603.979.776 pagefile.sys
17.12.2005 16:09 0 Errors.log
17.12.2005 15:36 11.290 ResponseXML.log
17.12.2005 15:36 10.786 ResponseText.log
17.12.2005 15:36 854 Request.log
17.12.2005 15:27 0 BHO.log
03.11.2005 03:06 4.604 data
31.07.2005 11:54 48.527.102 regbackup.reg
23.06.2005 23:09 190 drwtsn32.log
05.05.2005 13:15 211 boot.ini
05.05.2005 12:59 47.564 ntdetect.com
05.05.2005 12:59 251.184 ntldr
06.10.2004 19:36 26.488 MDacLog.txt
16.08.2004 13:02 0 AUTOEXEC.BAT
16.08.2004 13:02 0 CONFIG.SYS
18.08.2001 13:00 4.952 bootfont.bin
21 Datei(en) 1.055.151.339 Bytes
0 Verzeichnis(se), 9.889.923.072 Bytes frei


Danke schonmal im vorraus1
Seitenanfang Seitenende
13.01.2006, 12:52
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Jaques

LSPfix
http://www.spychecker.com/program/lspfix.html
schreibe, welche dll du findest

----------------------------------------------------------------------------
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\websbeio.exe
C:\WINDOWS\system32\dmbiantz.dll
C:\WINDOWS\system32\spmiwave.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1