SMALL.WY + smitfraud |
||
---|---|---|
#0
| ||
05.08.2005, 12:15
...neu hier
Beiträge: 4 |
||
|
||
05.08.2005, 12:26
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@DirkT
um an alle Daten ranzukommen, brauche ich folgendes: DLLCompare http://downloads.subratam.org/DllCompare.exe <klick: Locate.com button. wenn der Scan beendet ist <klick:Compare button <klick: und erstelle das Log--->bitte posten silentrunners http://virus-protect.org/silentrunner.html http://www.silentrunners.org/sr_download.html gehe auf: Zitat: Click here to download a zip file. hier die Erklaerung: http://www.silentrunners.org/sr_scriptuse.html klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor--> und poste alles, was angezeigt wird. Lade: rkfiles.zip--> auch wenn es lange dauert, bis sich das DOS-Fenster schliesst....warte http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt Start--> Ausfuehren--> cmd--> DOS oeffnet sich kopiere nur die Eintraege der letzten 40 Tage raus--> kopiere auch den Pfad mit einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit wenn ich diese Daten habe, gebe ich Anweisungen fuer die Registry und Loeschen ....dann ist alles wieder o.k. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.08.2005, 12:37
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Sabina, danke dass du dich meiner so schnell annimmst.
Ich gebe dir die Daten eine nach dem anderen. zuerst DLLCompare: * DLLCompare Log version(1.0.0.127) Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ O^E says: "There were no files found " ________________________________________________ 1.181 items found: 1.181 files, 0 directories. Total of file sizes: 213.344.921 bytes 203,46 M Administrator Account = True --------------------End log--------------------- Teil 2 Silentrunner Ergebnis: "Silent Runners.vbs", revision 39, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS.0\System32\ctfmon.exe" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} "notepad2.exe" = "popuper.exe" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."] "ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."] "F-Secure Manager" = ""C:\Programme\F-Secure\Common\FSM32.EXE" /splash" ["F-Secure Corporation"] "F-Secure TNB" = ""C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL" ["F-Secure Corporation"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}\(Default) = "HP Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\System32\hp668.tmp" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\System32\hticons.dll" ["Hilgraeve, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS] "{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\ INFECTION WARNING! "{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\q208579_disk.dll" [null data] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! style2\DLLName = "C:\WINDOWS.0\q208579_disk.dll" [null data] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] Group Policies [Description]: ----------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ HIJACK WARNING! "NoActiveDesktopChanges"=dword:00000001 [prevents changes to Active Desktop; removes Web tab from Display Properties| Desktop (tab)|Customize Desktop... (button)|Desktop Items (window)] HIJACK WARNING! "NoDispBackgroundPage"=dword:00000001 [removes Display Properties, Desktop (tab)] Active Desktop and Wallpaper: ----------------------------- Active Desktop is enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS.0\System32\\wppp.html" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "SCRNSAVE.EXE" = "C:\WINDOWS.0\System32\ATIOCE~1.SCR" (Ati Ocean.scr) [null data] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 24 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS.0\System32\Ati2evxx.exe" ["ATI Technologies Inc."] F-Secure Anti-Virus Firewall Daemon, FSDFWD, ""C:\Programme\F-Secure\FWES\Program\fsdfwd.exe"" ["F-Secure Corporation"] F-Secure Automatic Update, BackWeb Client - 7681197, "C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE" [null data] F-Secure Gatekeeper Handler Starter, F-Secure Gatekeeper Handler Starter, ""C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe"" ["F-Secure Corp."] F-Secure Management Agent, FSMA, ""C:\Programme\F-Secure\Common\FSMA32.EXE"" ["F-Secure Corporation"] F-Secure Network Request Broker, F-Secure Network Request Broker, ""C:\Programme\F-Secure\Common\FNRB32.EXE"" ["F-Secure Corporation"] fsbwsys, fsbwsys, ""C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe"" ["F-Secure Corp."] SAP-Agent, NwSapAgent, "C:\WINDOWS.0\System32\svchost.exe -k netsvcs" {"C:\WINDOWS.0\System32\ipxsap.dll" [MS]} Teil 3: PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS.0\system32\DVDAudio.ax: UPX! C:\WINDOWS.0\system32\DVDVideo.ax: UPX! C:\WINDOWS.0\system32\OLEEXT.0LL: UPX! C:\WINDOWS.0\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS.0\system32\oembios.bin: qPEc2H C:\WINDOWS.0\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS.0\system32\oembios.bin: qPEc2H Files Found in all users startup Folder............ ------------------------ C:\WINDOWS.0\system32\DVDAudio.ax: UPX! C:\WINDOWS.0\system32\DVDVideo.ax: UPX! C:\WINDOWS.0\system32\OLEEXT.0LL: UPX! Files Found in all users windows Folder............ ------------------------ C:\WINDOWS.0\RMAgentOutput.dll: UPX! C:\WINDOWS.0\tsc.exe: UPX! C:\WINDOWS.0\UNINSTIU.0XE: UPX! C:\WINDOWS.0\vsapi32.dll: UPX!t4 C:\WINDOWS.0\popuper.exe: FSG! Finished bye Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 98DD-98B0 Verzeichnis von C:\WINDOWS.0\system32 05.08.2005 13:07 2.048 intmonp.exe 05.08.2005 13:02 552 d3d8caps.dat 05.08.2005 12:46 1.621 wppp.html 05.08.2005 10:14 2.048 intmon.0xe 05.08.2005 10:07 6.656 hhk.dll 05.08.2005 10:07 52.736 hp668.tmp 05.08.2005 01:12 52.736 hpC008.tmp 05.08.2005 00:26 766 spyware.ico 05.08.2005 00:26 4.286 spam.ico 05.08.2005 00:26 2.238 pharm.ico 05.08.2005 00:26 2.238 network.ico 05.08.2005 00:26 2.238 Date.ico 29.07.2005 03:55 2.184 wpa.dbl Verzeichnis von C:\DOKUME~1\BESITZ~1.DIR\LOKALE~1\Temp 05.08.2005 10:04 24.110 BWInstall.log 05.08.2005 10:04 24.576 IadHide4.dll 05.08.2005 10:02 5.310 plf2.tmp 05.08.2005 09:52 287.605 avg7inst.log 05.08.2005 02:11 8.039 HCF.tmp 05.08.2005 02:11 160.753 TMVAINFO.xml 05.08.2005 02:11 2.001 VS_REPORT 05.08.2005 02:11 8.885 SPYWARE_REPORT.DAT 05.08.2005 02:11 8.110 HCD.tmp 05.08.2005 01:18 2 WST.txt 05.08.2005 01:12 135.345 jusched.log 05.08.2005 00:33 16.384 ~DF6CF9.tmp 05.08.2005 00:26 2.026.700 PSGuardInstall.exe 05.08.2005 00:23 16.384 ~DF36ED.tmp 04.08.2005 21:17 16.384 ~DF6C8D.tmp 04.08.2005 14:38 16.384 ~DF204B.tmp 04.08.2005 09:30 16.384 ~DF730C.tmp 03.08.2005 18:20 16.384 ~DF7B30.tmp 01.08.2005 11:59 16.384 ~DF2F04.tmp 01.08.2005 08:23 16.384 ~DF3D3E.tmp 31.07.2005 23:35 1.107 Outlook Startup.Log 31.07.2005 23:23 16.384 ~DF6F69.tmp 31.07.2005 13:06 886 Outlook Startup.BAK 31.07.2005 13:05 16.384 ~DFBE37.tmp 31.07.2005 13:05 0 3BE0E.dmp 31.07.2005 12:01 16.384 ~DF71F3.tmp 30.07.2005 18:24 16.384 ~DF5F36.tmp 30.07.2005 10:43 16.384 ~DF67F1.tmp 29.07.2005 20:22 16.384 ~DF585A.tmp 29.07.2005 03:59 126.976 RX_9.tmp 29.07.2005 03:55 16.384 ~DF6595.tmp 26.07.2005 16:50 16.384 ~DF5A17.tmp 25.07.2005 15:27 16.384 ~DF50A1.tmp 18.07.2005 15:44 16.384 ~DF64E1.tmp 16.07.2005 10:38 16.384 ~DFAF75.tmp 16.07.2005 08:22 0 JET119B.tmp 16.07.2005 08:17 16.384 ~DF59C3.tmp 16.07.2005 07:59 16.384 ~DF6532.tmp 16.07.2005 07:35 16.384 ~DF6D60.tmp 16.07.2005 06:26 16.384 ~DF5EBD.tmp 16.07.2005 06:20 16.384 ~DF5AAD.tmp 15.07.2005 17:35 16.384 ~DF62E1.tmp 08.07.2005 07:53 16.384 ~DF6E4E.tmp 07.07.2005 16:09 16.384 ~DF684C.tmp 07.07.2005 09:14 16.384 ~DF5EDF.tmp 04.07.2005 14:51 16.384 ~DF575A.tmp 02.07.2005 15:49 16.384 ~DF5CAB.tmp 02.07.2005 05:53 16.384 ~DF44D8.tmp 01.07.2005 12:25 16.384 ~DF639F.tmp 01.07.2005 06:15 16.384 ~DF58E5.tmp 01.07.2005 04:41 16.384 ~DF577D.tmp 30.06.2005 14:51 16.384 ~DF5BE9.tmp 30.06.2005 08:42 16.384 ~DF5646.tmp 29.06.2005 09:51 16.384 ~DF5670.tmp 28.06.2005 14:32 16.384 ~DF5A74.tmp 28.06.2005 09:58 16.384 ~DF5A4F.tmp 28.06.2005 07:20 16.384 ~DF5A87.tmp 27.06.2005 12:03 16.384 ~DF6EFD.tmp 27.06.2005 08:05 16.384 ~DF6533.tmp 24.06.2005 12:39 16.384 ~DF5786.tmp 24.06.2005 07:17 16.384 ~DF4D34.tmp 24.06.2005 07:13 16.384 ~DF66D1.tmp 23.06.2005 13:48 16.384 ~DF5236.tmp 23.06.2005 11:26 16.384 ~DF56EC.tmp 21.06.2005 14:56 16.384 ~DF73F0.tmp Verzeichnis von C:\WINDOWS.0 05.08.2005 13:07 0 0.log 05.08.2005 13:07 600.095 WindowsUpdate.log 05.08.2005 13:07 2.048 bootstat.dat 05.08.2005 13:06 162.084 ntbtlog.txt 05.08.2005 12:46 32.622 SchedLgU.Txt 05.08.2005 10:05 248.924 RunSetup.log 05.08.2005 10:05 2.208.690 FSSFM.log 05.08.2005 10:05 3.864.292 FSISU.log 05.08.2005 10:05 118.370 FSPROD.log 05.08.2005 10:05 2.274.449 FSSGUI.log 05.08.2005 10:05 716.138 FSSETUP.log 05.08.2005 10:05 3.244 fsavunin.log 05.08.2005 10:05 16.842 fsmainst.log 05.08.2005 10:05 5.312 FSSYSUPD.LOG 05.08.2005 10:05 166 MEHInst.log 05.08.2005 10:05 3.867 FSAVCSIN.LOG 05.08.2005 10:05 19.217 fwesinst.log 05.08.2005 10:05 6.527 pmsuinst.log 05.08.2005 10:05 1.965 fsdginst.log 05.08.2005 10:05 13.851 fstnbins.LOG 05.08.2005 10:05 9.017 fsrif.log 05.08.2005 10:05 3.936 fsbwinst.log 05.08.2005 10:05 7.267 fwinst.log 05.08.2005 10:05 24.629 FSAVINST.LOG 05.08.2005 10:04 10.219 FSGUIINS.LOG 05.08.2005 10:04 81.920 bwUnin-6.1.4.58-7681197L.exe 05.08.2005 10:03 81.298 FSDEPH.log 05.08.2005 10:03 126.732 FSSGSUP.LOG 05.08.2005 10:03 50 MEHUnIn.log 05.08.2005 10:02 1.214 Q-Klez.log 05.08.2005 02:11 680 TSC.ini 05.08.2005 02:11 4 RM_RESULT.DAT 05.08.2005 01:19 170 GetServer.ini 05.08.2005 01:18 133.383 setupapi.log 05.08.2005 01:18 1.142.784 TMUPDATE.DLL 05.08.2005 01:18 69.689 UNZIP.DLL 05.08.2005 01:18 208.896 PATCH.EXE 05.08.2005 00:27 2.172 sites.ini 05.08.2005 00:27 21.357 popuper.exe 05.08.2005 00:25 24.576 q208579_disk.dll 05.08.2005 00:25 3.072 UNINSTIU.0XE 04.08.2005 16:24 1.125 winamp.ini 04.08.2005 09:45 5.102 xnview.ini 03.08.2005 13:54 15.540.803 lpt$vpn.759 03.08.2005 13:54 15.540.803 VPTNFILE.759 02.08.2005 00:57 2.224.266 tsc.ptn 31.07.2005 12:29 578 M3JPEG.INI 13.07.2005 23:40 41.472 TMVAmain.ptn 13.07.2005 22:53 160.786 TMVAINFO.xml Verzeichnis von C:\ 05.08.2005 13:16 0 sys.txt 05.08.2005 13:15 10.464 system.txt 05.08.2005 13:13 24.199 systemtemp.txt 05.08.2005 13:10 95.871 system32.txt 05.08.2005 13:07 805.306.368 pagefile.sys 05.08.2005 13:05 1.180 log2.txt 05.08.2005 13:05 1.180 log.txt 05.08.2005 13:04 165 windows.txt 05.08.2005 13:02 428 win.txt 05.08.2005 12:58 122 start.txt 05.08.2005 09:51 96.582 AVG7DB_F.DAT 03.08.2005 10:03 72 bildesktop.ini 26.05.2005 17:09 72 kkvdesktop.ini Sodelle, dass wars, hoffe dir sagt das mehr als mir :-) Dieser Beitrag wurde am 05.08.2005 um 13:25 Uhr von DirkT editiert.
|
|
|
||
05.08.2005, 13:34
Ehrenmitglied
Beiträge: 29434 |
#4
Gehe in die Registry
Start--Ausfuehren-> regedit HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\ loesche: {B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor" #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R3 - URLSearchHook: (no name) - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - (no file) O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS.0\System32\hp668.tmp O20 - Winlogon Notify: style2 - C:\WINDOWS.0\q208579_disk.dll PC neustarten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\DOKUME~1\BESITZ~1.DIR\LOKALE~1\TempIadHide4.dll C:\DOKUME~1\BESITZ~1.DIR\LOKALE~1\plf2.tmp C:\DOKUME~1\BESITZ~1.DIR\LOKALE~1\PSGuardInstall.exe C:\WINDOWS.0\q208579_disk.dll C:\WINDOWS.0\System32\wppp.html C:\WINDOWS.0\system32\OLEEXT.0LL C:\WINDOWS.0\UNINSTIU.0XE C:\WINDOWS.0\popuper.exe C:\WINDOWS.0\system32\intmonp.exe C:\WINDOWS.0\system32\intmon.0xe C:\WINDOWS.0\system32\hhk.dll C:\WINDOWS.0\system32\hp668.tmp C:\WINDOWS.0\system32\hpC008.tmp C:\WINDOWS.0\system32\spyware.ico C:\WINDOWS.0\system32\spam.ico C:\WINDOWS.0\system32\pharm.ico C:\WINDOWS.0\system32\network.ico C:\WINDOWS.0\system32\Date.ico C:\WINDOWS.0\sites.ini C:\WINDOWS.0\popuper.exe C:\WINDOWS.0\UNINSTIU.0XE PC neustarten Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. http://www.bleepingcomputer.com/files/reg/smitfraud.reg Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken. CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html Ewido--> poste mir das Log vom Scan http://virus-protect.org/antivirenfree.html + #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.08.2005, 16:06
...neu hier
Themenstarter Beiträge: 4 |
#5
Hallo Sabina,
habe alle deine Anweisungen ausgeführt. Bei "Ewido" konnte ich allerdings nicht deinen Link verwenden, da der IE dann ne Fehlermeldung gebracht hat. Der direktscan von der Ewido Homepage brachte auch nen Error, so dass ich das Programm runtergeladen habe und dann nen kompletten scan gemacht habe. Folgend der Log von Ewido und der neue Hijackthis: ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 15:54:52, 05.08.2005 + Report-Checksumme: 5E35AD4A + Scanergebnis: HKLM\SOFTWARE\Classes\ADM25.ADM25 -> Spyware.Altnet : Gesäubert mit Backup HKLM\SOFTWARE\Classes\ADM25.ADM25\CurVer -> Spyware.Altnet : Gesäubert mit Backup HKLM\SOFTWARE\Classes\AppID\adm.EXE -> Spyware.Altnet : Gesäubert mit Backup HKLM\SOFTWARE\Classes\AppID\Altnet Signing Module.EXE -> Spyware.Altnet : Gesäubert mit Backup HKLM\SOFTWARE\Cydoor -> Spyware.Cydoor : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\!CNS -> Spyware.CnsMin : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\!CNS\Enable -> Spyware.CnsMin : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup HKLM\SOFTWARE\PerfectNav -> Spyware.KeenValue : Gesäubert mit Backup C:\Downloads\backups\backup-20050805-144740-796.dll -> Trojan.Puper.g : Gesäubert mit Backup C:\Programme\MyWay\myBar\3.bin\MY2NS.EXE -> Spyware.MyWay : Gesäubert mit Backup C:\Programme\MyWay\myBar\3.bin\MYWAYPLUGINPROXY.CLASS -> Spyware.MyWay : Gesäubert mit Backup C:\Programme\MyWay\myBar\3.bin\NPMYWAY.DLL -> Spyware.MyWay : Gesäubert mit Backup ::Report Ende Logfile of HijackThis v1.99.1 Scan saved at 16:05:21, on 05.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\system32\spoolsv.exe C:\WINDOWS.0\Explorer.EXE C:\WINDOWS.0\System32\Ati2evxx.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS.0\System32\ctfmon.exe C:\WINDOWS.0\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\F-Secure\Common\FSLAUNCH.EXE C:\Downloads\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.0\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\ctfmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {E3489C0D-D07D-4281-A4A7-ADA8E9A0893F} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/cn/filesharingctrl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{22D60A64-03E9-4567-857F-4A2861A4FF3F}: NameServer = 217.237.150.33 217.237.150.141 O17 - HKLM\System\CS1\Services\Tcpip\..\{22D60A64-03E9-4567-857F-4A2861A4FF3F}: NameServer = 217.237.150.33 217.237.150.141 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS.0\System32\Ati2evxx.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe |
|
|
||
05.08.2005, 17:10
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@DirkT
das hast du gut gemacht es ist alles sauber Alles Gute fuer dich+ PC damit du auf meine Seite kommst:und auch ansonsten sicherer surfst: #Alternativbrowser zum IE Firefox http://www.firefox-browser.de/windows.php http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html vergiss nicht, die WindowsUpdates zu machen--> lade SP2 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.08.2005, 17:34
...neu hier
Themenstarter Beiträge: 4 |
#7
Sabina,
ein herzliches Dankeschön für deine Hilfe. Es funktioniert wieder alles einwandfrei. ich freue mich bei euch, bzw. dir so schnell kompetente Hilfe gefunden zu haben! wünsche dir ein schönes und hoffentlich entspanntes Wochenende, Liebe Gruessen Dirk T. |
|
|
||
ich bin durch Zufall und Glück auf euer Forum gestoßen, und bitte um eure Hilfe.
So wie es scheint habe ich mir small.wy eingefangen. Ich habe schon einiges probiert, um den Trojaner zu entfernen, aber mein Latein ist leider begrenzt.
Beim Stöbern in eurem Forum ist mir ein ähnlicher Fall eines ebenfalls verzweifelten Users Namens Zotti über den Weg gelaufen. Dort hat Sabina dem User viele Konkrete Tipps gegeben, u.a. wie er Killbox, ClearProg, usw. anwenden soll, um das Problem zu lösen.
Leider war das sehr speziell auf sein Hijack Ergebnis ausgerichtet und ich als Leie konnte das nicht auf meine Situation übertragen.
Deshalb bitte ich um eure Hilfe, anbei poste ich mein Hijack Ergebnis:
Logfile of HijackThis v1.99.1
Scan saved at 12:09:03, on 05.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\System32\Ati2evxx.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\WINDOWS.0\System32\ctfmon.exe
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\WINDOWS.0\System32\wuauclt.exe
C:\WINDOWS.0\explorer.exe
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - URLSearchHook: (no name) - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - (no file)
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS.0\System32\hp668.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.0\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {E3489C0D-D07D-4281-A4A7-ADA8E9A0893F} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/cn/filesharingctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{22D60A64-03E9-4567-857F-4A2861A4FF3F}: NameServer = 217.237.150.33 217.237.150.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{22D60A64-03E9-4567-857F-4A2861A4FF3F}: NameServer = 217.237.150.33 217.237.150.141
O20 - Winlogon Notify: style2 - C:\WINDOWS.0\q208579_disk.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS.0\System32\Ati2evxx.exe
O23 - Service: F-Secure Automatic Update (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE