antivirus gold + ms32.exe

#0
04.07.2005, 18:07
...neu hier

Beiträge: 7
#1 Ich hab einen schwarzen screen mit einigen Schriftzugen die zu antivirus gold verlinken.
Den screen bekomme ich trotz einiger scans mittels virenscannern nicht weg.

Ich hab folgende Einträge:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 130C-10DF

Verzeichnis von C:\WINDOWS\system32

28.06.2005 19:53 1.158 wpa.dbl
27.03.2005 12:47 165.120 FNTCACHE.DAT

Verzeichnis von C:\DOKUME~1\pc\LOKALE~1\Temp

03.07.2005 21:41 4.592 SIntfIcn.ani
03.07.2005 21:41 17.324 SIntf32.dll
03.07.2005 21:41 40.448 CmdLineExt03.dll
03.07.2005 21:41 22.068 SIntfNT.dll
03.07.2005 21:41 12.305 SIntf16.dll
02.07.2005 01:48 16.384 ~DFB0AC.tmp
02.07.2005 01:48 2.613 kb.log
29.06.2005 16:24 185.220 jusched.log
28.06.2005 19:54 29.863 AGLanguage.ini
26.06.2005 02:46 36.864 bjjb.exe
25.06.2005 23:54 58 E758E1CB.TMP
07.06.2005 11:34 45.096 _VWUPSRV.EXE

erzeichnis von C:\WINDOWS

04.07.2005 17:50 0 0.log
04.07.2005 17:49 159 wiadebug.log
04.07.2005 17:49 2.048 bootstat.dat
04.07.2005 16:43 32.630 SchedLgU.Txt
04.07.2005 16:43 50 wiaservc.log
04.07.2005 16:01 770 win.ini
03.07.2005 09:21 1.032.082 setupapi.log
02.07.2005 01:23 1.522 screen.html
02.07.2005 01:09 225.102 ntbtlog.txt
08.06.2005 02:13 427.520 WRServices.dll
Verzeichnis von C:\

04.07.2005 17:58 0 sys.txt
04.07.2005 17:57 6.516 system.txt
04.07.2005 17:56 3.899 systemtemp.txt
04.07.2005 17:54 89.704 system32.txt
04.07.2005 17:49 536.399.872 hiberfil.sys
04.07.2005 17:49 402.653.184 PAGEFILE.SYS
26.06.2005 02:46 186 ms32.exe.js
26.06.2005 02:46 7.292 ms32.exe


p-find . txt:



Files found with this application may be legitimate.
Only remove files that you know are malware related.
Checking the C:\WINDOWS folder
Checking the C:\WINDOWS\SYSTEM32 folder
Checking all directories under the C:\WINDOWS\SYSTEM32\drivers folder
C:\WINDOWS\SYSTEM32\Drivers\mrk.exe: UPX!
Checking the C:\Dokumente und Einstellungen\All Users\Start Menu\programs\Startup\ folder
Checking the C:\Dokumente und Einstellungen\All Users\Application Data folder
Checking the C:\Dokumente und Einstellungen\pc\Start Menu\programs\Startup\ folder
Checking the C:\Dokumente und Einstellungen\pc\Application Data folder

weiter unten I
I
V
Seitenanfang Seitenende
04.07.2005, 18:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@andibini

Silentrunners
http://virus-protect.org/silentrunner.html

klicke: output file is in text format. -- Doppelklick und es öffnet sich der Editor-- und poste alles, was angezeigt wird.

HijackThis:
http://www.downloads.subratam.org/hijackthis.zip
http://virus-protect.org/hjtkurz.html

Lade/entpacke HijackThis in einen Ordner

*None of the above just start the program
*Save
*Savelog
*es öffnet sich der Editor

oder:

*Do a system scan and save a logfile
*Save
*Savelog
*es öffnet sich der Editor

*nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"


----------------------------

KillBox
http://www.bleepingcomputer.com/files/killbox.php
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip

Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot (anhaken)

C:\ms32.exe
C:\ms32.exe.js
C:\WINDOWS\screen.html
C:\DOKUME~1\pc\LOKALE~1\Temp\bjjb.exe



und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

#"you want to reboot" auf "yes" gehen dann kommt eventuell die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process", in diesem Fall muss man selbst den PC booten.


---------------------------------------------------------------
INFO:
O4 - HKLM\..\Run: [Compaq32 Service Drivers] ms32.exe

?????????????????????????????????????????
C:\WINDOWS\SYSTEM32\Drivers\mrk.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2005, 18:56
...neu hier

Themenstarter

Beiträge: 7
#3 hey sabina du bist ja schnell.

Hier erstmal rk files run:

C:\Dokumente und Einstellungen\pc\Desktop\rkfiles

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
Finished
bye

silentrunner::::

"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office\OLKFSTUB.DLL" [MS]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
"FriendlyName" = "Security info v3"
"Source" = "C:\WINDOWS\screen.html"
"SubscribedURL" = ""


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssstars.scr" [MS]


Startup items in "pc" & "All Users" startup folders:
----------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 28
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{6224F700-CBA3-4071-B251-47CB894244CD}\
"ButtonText" = "ICQ Pro"
"MenuText" = "ICQ"
"Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://GLOBAL.ACER.COM/

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Ulead Burning Helper, UleadBurningHelper, "C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe" ["Ulead Systems, Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 4 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 9 seconds.
---------- (total run time: 32 seconds)

hijack this::::


Logfile of HijackThis v1.99.1
Scan saved at 18:53:57, on 04.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\pc\Lokale Einstellungen\Temp\Temporäres Verzeichnis 8 für hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - DefaultPrefix:
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Alle Logs sind vor dem löschen mit killbox entstanden.

So das wars erstmal. Wär schön wenn Du mir helfen kannst Sabina.

Grüsse

andi
Dieser Beitrag wurde am 04.07.2005 um 19:12 Uhr von andibini editiert.
Seitenanfang Seitenende
04.07.2005, 19:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Gehe in die Registry

Start-->Ausfuehren--> regedit

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1\ <--in 0 aendern

loeschen:

"FriendlyName" = "Security info v3"
"Source" = "C:\WINDOWS\screen.html"
"SubscribedURL" = ""

HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold

------------------------------------------------------------------

KillBox
http://www.bleepingcomputer.com/files/killbox.php
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip

Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot (anhaken)

C:\ms32.exe
C:\ms32.exe.js
C:\WINDOWS\screen.html
C:\DOKUME~1\pc\LOKALE~1\Temp\bjjb.exe


und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

#"you want to reboot" auf "yes" gehen dann kommt eventuell die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process", in diesem Fall muss man selbst den PC booten.

------------

C:\WINDOWS\SYSTEM32\Drivers\mrk.exe <--rechtsklick--> Eigenschaften--> berichte, bitte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2005, 20:41
...neu hier

Themenstarter

Beiträge: 7
#5 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1\ <--in 0 aendern

geht nicht, da null schon vorhanden.
------------------------------------------------------------------------
C:\ms32.exe
C:\ms32.exe.js
C:\WINDOWS\screen.html
C:\DOKUME~1\pc\LOKALE~1\Temp\bjjb.exe

sind gelöscht

________________________________________________________________
HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold war schon gelöscht.
_________________________________________________________________
:\WINDOWS\SYSTEM32\Drivers\mrk.exe <--rechtsklick--> Eigenschaften-->

hab da mehrere Ordnerkarten(allgemein/programm/schriftart/speicher/bildschirm/sonstiges). was brauchst du daraus??

aktueller stand: schwarzer hintergrund ist weg, ebenso der schriftzug. jedoch bekomm ich keinen windows standardhintergrund.

Liebe grüsse und danke vorab

andi
Seitenanfang Seitenende
04.07.2005, 22:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Desktop\General]
"WallpaperFileTime"=-
"WallpaperLocalFileTime"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"Wallpaper"=-
"WallpaperStyle"=-
"NoDispBackgroundPage"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=-
"WallpaperStyle"=-

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="Search Bar"="http://search.msn.com/intl/searchpane/en-au/prov2.htm"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
""="http://home.microsoft.com/access/autosearch.asp?p=%s"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="http://search.msn.com/spbasic.htm"
"Use Custom Search URL"= dword:00000000
"Use Search Asst"=-




Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.
und sofort wieder in den normalmodus starten


CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2005, 23:24
...neu hier

Themenstarter

Beiträge: 7
#7 Alles durchgeführt.

Screen lässt sich in dem Bereich in dem er vorher schwarz war nicht verändern und ist mal weiss, mal hellgrün. Wenn ich unter Systemsteuerung/Anzeige die Auflösung verändere, ist der eingestellte Hintergrund als Rahmen um den weissen/hellgrünen rechts und unten im Bildschirm zu sehen.

Hier nochmal nen aktueller log:

Logfile of HijackThis v1.99.1
Scan saved at 23:22:16, on 04.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\pc\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - DefaultPrefix:
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Grüsse aus dem Tecklenburger Land :-)

andi
Seitenanfang Seitenende
05.07.2005, 08:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@

ich glaube nicht, dass du meine reg-Datei korrekt angewendet hast, denn dann sollte der Hintergrund hellblau sein.

Die Startseiten usw. haben sich ebenfalls nicht veraendert.

du solltest also die regdatei korrekt anwenden oder selbst in die Registry gehen und die Werte umstellen.

am besten: poste mir noch mal ein Log vom Silentrunner


+
die 4 DOS-Logs (aber diesmal zeitlich noch weiter zurueck)
du hattest einen Wurm/Backdoor auf dem PC und ich weiss nicht, was er alles so verstellt hat (neben dem Antiv.Gold).......
-------------
P.S.: ab morgen bin ich in Urlaub ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.07.2005, 09:59
...neu hier

Themenstarter

Beiträge: 7
#9 Silentrunner
____________________________________________________________-
"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office\OLKFSTUB.DLL" [MS]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
"FriendlyName" = "Security info v3"
"Source" = "C:\WINDOWS\screen.html"
"SubscribedURL" = ""


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "pc" & "All Users" startup folders:
----------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 28
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{6224F700-CBA3-4071-B251-47CB894244CD}\
"ButtonText" = "ICQ Pro"
"MenuText" = "ICQ"
"Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://GLOBAL.ACER.COM/

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Ulead Burning Helper, UleadBurningHelper, "C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe" ["Ulead Systems, Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 4 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 10 seconds.
---------- (total run time: 31 seconds)

____________________________________________________________-

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 130C-10DF

Verzeichnis von C:\WINDOWS\system32

28.06.2005 19:53 1.158 wpa.dbl
27.03.2005 12:47 165.120 FNTCACHE.DAT
10.08.2004 00:48 12.067 SIntf16.dll
10.08.2004 00:48 17.212 SIntf32.dll
10.08.2004 00:48 21.840 SIntfNT.dll
09.08.2004 15:41 723.568 PerfStringBackup.INI
09.08.2004 15:41 316.594 perfh007.dat
09.08.2004 15:41 48.156 perfc007.dat
09.08.2004 15:41 39.992 perfc009.dat
09.08.2004 15:41 311.604 perfh009.dat
09.08.2004 15:21 1.875 AUTOEXEC.NT
07.07.2004 18:58 593.408 WININET.DLL
07.07.2004 18:58 486.400 URLMON.DLL
07.07.2004 18:58 395.264 SHLWAPI.DLL
07.07.2004 18:58 1.339.904 SHDOCVW.DLL
07.07.2004 18:58 2.803.712 MSHTML.DLL
07.07.2004 18:58 1.026.048 BROWSEUI.DLL
02.07.2004 00:08 360.448 qmgr.dll
02.07.2004 00:08 7.680 bitsprx2.dll
02.07.2004 00:08 17.408 qmgrprxy.dll
02.07.2004 00:08 331.776 winhttp.dll
02.07.2004 00:08 7.168 bitsprx3.dll
30.06.2004 17:00 183.808 xpob2res.dll
23.06.2004 02:42 123.392 itss.dll
10.06.2004 21:50 8.391.680 shell32.dll
09.06.2004 00:00 173.568 schedsvc.dll
09.06.2004 00:00 306.688 netapi32.dll
09.06.2004 00:00 265.216 mstask.dll
08.06.2004 23:50 10.752 mstinit.exe
07.06.2004 16:14 228.864 MSOEACCT.DLL
07.06.2004 16:14 44.032 MSIDENT.DLL
07.06.2004 16:14 50.688 INETRES.DLL
07.06.2004 14:19 596.480 INETCOMM.DLL
18.05.2004 05:47 609.792 xpsp2res.dll
22.04.2004 17:20 333 $ncsp$.inf
22.04.2004 16:11 3.091 jupdate-1.4.2_01-b06.log
22.04.2004 16:10 1.024 NTICDMK32.dll
22.04.2004 16:07 25.065 wmpscheme.xml
22.04.2004 16:02 23.392 nscompat.tlb
22.04.2004 16:02 2.951 CONFIG.NT
22.04.2004 16:02 16.832 amcompat.tlb
22.04.2004 16:02 488 WindowsLogon.manifest
22.04.2004 16:02 488 logonui.exe.manifest
22.04.2004 16:01 749 sapi.cpl.manifest
22.04.2004 16:01 749 nwc.cpl.manifest
22.04.2004 16:01 749 ncpa.cpl.manifest
22.04.2004 16:01 749 wuaucpl.cpl.manifest
22.04.2004 16:01 749 cdplayer.exe.manifest
22.04.2004 16:01 21.740 emptyregdb.dat
22.04.2004 15:59 0 h323log.txt
17.04.2004 02:56 83.456 fldrclnr.dll
17.04.2004 02:56 679.424 sxs.dll
17.04.2004 02:01 614.429 mswstr10.dll
17.04.2004 02:01 180.253 msjint40.dll
14.04.2004 14:56 219.648 dplayx.dll
12.04.2004 23:11 76.800 dpwsockx.dll
11.04.2004 03:35 380.957 expsrv.dll
11.04.2004 03:35 831.519 mswdat10.dll
11.04.2004 03:35 315.423 msrd3x40.dll
11.04.2004 03:35 421.919 msrd2x40.dll
11.04.2004 03:35 213.023 msltus40.dll
11.04.2004 03:35 53.279 msjter40.dll
10.04.2004 12:24 26.112 xpsp1hfm.exe

__________________________________________________________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 130C-10DF

Verzeichnis von C:\DOKUME~1\pc\LOKALE~1\Temp

_____________________________________________________________-
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 130C-10DF

Verzeichnis von C:\WINDOWS

05.07.2005 15:19 0 0.log
05.07.2005 15:19 159 wiadebug.log
05.07.2005 15:19 2.048 bootstat.dat
05.07.2005 15:18 50 wiaservc.log
05.07.2005 15:18 32.630 SchedLgU.Txt
04.07.2005 20:31 439 system.ini
04.07.2005 16:01 770 win.ini
08.06.2005 02:13 427.520 WRServices.dll
17.03.2005 17:20 316.640 WMSysPr9.prx
06.03.2005 09:28 137 uno.ini
19.02.2005 23:11 26 hosts
19.02.2005 22:53 66 iefav.ini

___________________________________________________________-

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 130C-10DF

Verzeichnis von C:\

05.07.2005 15:27 0 sys.txt
05.07.2005 15:26 4.145 system.txt
05.07.2005 15:26 130 systemtemp.txt
05.07.2005 15:25 89.704 system32.txt
05.07.2005 15:19 536.399.872 hiberfil.sys
05.07.2005 15:19 402.653.184 PAGEFILE.SYS
04.07.2005 18:43 707 log.txt
04.07.2005 18:42 216 win.txt
04.07.2005 18:42 0 windows.txt
04.07.2005 18:38 0 start.txt
04.07.2005 18:05 682 pfind.txt
22.04.2004 17:20 0 ACER_WWS.LOG
22.04.2004 16:02 0 CONFIG.SYS
22.04.2004 16:02 0 AUTOEXEC.BAT
22.04.2004 16:02 0 IO.SYS
22.04.2004 16:02 0 MSDOS.SYS
22.04.2004 15:48 512 BOOTSECT.DOS

___________________________________________________________-

Vielen Dank für deine Hilfe im Voraus. Hoffentlich bist Du noch nicht im Packstress für deinen Urlaub :-)

Grüsse
Dieser Beitrag wurde am 05.07.2005 um 15:28 Uhr von andibini editiert.
Seitenanfang Seitenende
05.07.2005, 16:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
"FriendlyName" = "Security info v3"
"Source" = "C:\WINDOWS\screen.html"
"SubscribedURL" = ""

ist noch da...also hast du die Reg-Datei nicht richtig angewendet.....

das muss alles geloescht werden

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\r]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold]
Die Datei "fix.reg" auf dem Desktop doppelklicken.--> und bestaetigen, dass sie der Registry beigefuegt wird ;)

dann scanne noch mal mit Silentrunner

--------------

und arbeite das hier ab:
http://virus-protect.org/escan.html
-----------------------------------------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.07.2005, 19:41
...neu hier

Themenstarter

Beiträge: 7
#11 HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
"FriendlyName" = "Security info v3"
"Source" = "C:\WINDOWS\screen.html"
"SubscribedURL" = ""

ist noch da...also hast du die Reg-Datei nicht richtig angewendet.....

das muss alles geloescht werden wie oder womit sabina??

______________________________________________________________
Silentrunner nach fix.reg
____________________________________________________________

"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office\OLKFSTUB.DLL" [MS]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "pc" & "All Users" startup folders:
----------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 28
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{6224F700-CBA3-4071-B251-47CB894244CD}\
"ButtonText" = "ICQ Pro"
"MenuText" = "ICQ"
"Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://GLOBAL.ACER.COM/

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Ulead Burning Helper, UleadBurningHelper, "C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe" ["Ulead Systems, Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 10 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 9 seconds.
---------- (total run time: 42 seconds)

__________________________________________________________-

arbeite grade den rest ab.

andi
Seitenanfang Seitenende
05.07.2005, 20:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
"FriendlyName" = "Security info v3"
"Source" = "C:\WINDOWS\screen.html"
"SubscribedURL" = ""

wird mit der reg-Datei aus der Registry geloescht....scheint nun o.k. zu sein ;)

im Silentrunner ist nichts mehr davon zu sehen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.07.2005, 20:27
...neu hier

Themenstarter

Beiträge: 7
#13 Hier der LOG von e-scan

Der Monitor ist nach Fix.reg und Neustart im wunderschonen Windowsblau :-)
__________________________________________________________________
--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Tue Jul 05 20:01:50 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
2: Tue Jul 05 20:16:09 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
3: Tue Jul 05 20:16:09 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\EXPLOIT[1].HTM.VIR [**]
4: Tue Jul 05 20:20:02 2005 => File C:\System Volume Information\_restore{764788CA-A234-4023-BB05-CDD67B9A2AB9}\RP53\A0041920.EXE infected by "not-virus:Hoax.Win32.Avgold.b" Virus! Action Taken: No Action Taken.
5: Tue Jul 05 20:20:05 2005 => File C:\System Volume Information\_restore{764788CA-A234-4023-BB05-CDD67B9A2AB9}\RP53\A0042048.exe infected by "Trojan-Downloader.Win32.Small.bau" Virus! Action Taken: No Action Taken.

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Tue Jul 05 20:01:55 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Textconv\MSWRD832.CNV". Action Taken: No Action Taken.
2: Tue Jul 05 20:02:06 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.
3: Tue Jul 05 20:02:07 2005 => Entry "HKCR\CLSID\{9869EFB4-18E9-11D3-A837-00104B9E30B5}" refers to invalid object "C:\DOKUME~1\pc\LOKALE~1\Temp\CMDLIN~1.DLL". Action Taken: No Action Taken.
4: Tue Jul 05 20:02:07 2005 => Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken.
5: Tue Jul 05 20:02:09 2005 => Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\System Volume Information\_restore{764788CA-A234-4023-BB05-CDD67B9A2AB9}\RP53\A0041920.EXE => not-virus:Hoax.Win32.Avgold.b
2: C:\System Volume Information\_restore{764788CA-A234-4023-BB05-CDD67B9A2AB9}\RP53\A0042048.exe => Trojan-Downloader.Win32.Small.bau

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Tue Jul 05 20:20:39 2005 => Total Objects Scanned: 37961
Tue Jul 05 20:20:39 2005 => Total Virus(es) Found: 4
Tue Jul 05 20:20:39 2005 => Total Errors: 5
Tue Jul 05 20:20:39 2005 => Virus Database Date: 2005/07/05
Tue Jul 05 20:20:39 2005 => Virus Database Count: 138139
Tue Jul 05 20:20:47 2005 => Total Objects Scanned: 37961
Tue Jul 05 20:20:47 2005 => Total Virus(es) Found: 4
Tue Jul 05 20:20:47 2005 => Total Errors: 5

_______________________________________________________


soll ich noch was machen sabina?

Grüsse

andi
Seitenanfang Seitenende
05.07.2005, 22:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 nein, es ist alles o.k. ;)

Da kann ich ja beruhigt in die Ferien gehen ;)
Alles Gute fuer dich + PC und schau dich ein bisschen auf meiner HP um ;)

(eingeschraenktes Benutzerkonto...WindowsUpdates...SP2... )
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.07.2005, 21:22
...neu hier

Beiträge: 2
#15 HILFE BIDDE!!!!!

Seruvs ihr lieben leute.
Hab auch das gleiche problem seit heute morgen.Das was hier beschrieben wird hab ich auch mal versucht,aber leider ohne erfolg.Gibt es dafür nicht irgent ein Tool womit man dieses Schei... Antivirus Gold von Rechner bekommt????
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: