SMALL.WY + smitfraud

#0
05.08.2005, 12:15
...neu hier

Beiträge: 4
#1 Hallo,

ich bin durch Zufall und Glück auf euer Forum gestoßen, und bitte um eure Hilfe.
So wie es scheint habe ich mir small.wy eingefangen. Ich habe schon einiges probiert, um den Trojaner zu entfernen, aber mein Latein ist leider begrenzt.

Beim Stöbern in eurem Forum ist mir ein ähnlicher Fall eines ebenfalls verzweifelten Users Namens Zotti über den Weg gelaufen. Dort hat Sabina dem User viele Konkrete Tipps gegeben, u.a. wie er Killbox, ClearProg, usw. anwenden soll, um das Problem zu lösen.
Leider war das sehr speziell auf sein Hijack Ergebnis ausgerichtet und ich als Leie konnte das nicht auf meine Situation übertragen.

Deshalb bitte ich um eure Hilfe, anbei poste ich mein Hijack Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 12:09:03, on 05.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\System32\Ati2evxx.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\WINDOWS.0\System32\ctfmon.exe
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\WINDOWS.0\System32\wuauclt.exe
C:\WINDOWS.0\explorer.exe
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - URLSearchHook: (no name) - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - (no file)
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS.0\System32\hp668.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.0\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {E3489C0D-D07D-4281-A4A7-ADA8E9A0893F} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/cn/filesharingctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{22D60A64-03E9-4567-857F-4A2861A4FF3F}: NameServer = 217.237.150.33 217.237.150.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{22D60A64-03E9-4567-857F-4A2861A4FF3F}: NameServer = 217.237.150.33 217.237.150.141
O20 - Winlogon Notify: style2 - C:\WINDOWS.0\q208579_disk.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS.0\System32\Ati2evxx.exe
O23 - Service: F-Secure Automatic Update (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
Seitenanfang Seitenende
05.08.2005, 12:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@DirkT


um an alle Daten ranzukommen, brauche ich folgendes:

DLLCompare
http://downloads.subratam.org/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten


silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.


Lade: rkfiles.zip--> auch wenn es lange dauert, bis sich das DOS-Fenster schliesst....warte
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt


Start--> Ausfuehren--> cmd--> DOS oeffnet sich kopiere nur die Eintraege der letzten 40 Tage raus--> kopiere auch den Pfad mit

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

wenn ich diese Daten habe, gebe ich Anweisungen fuer die Registry und Loeschen ....dann ist alles wieder o.k
. ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.08.2005, 12:37
...neu hier

Themenstarter

Beiträge: 4
#3 Hallo Sabina, danke dass du dich meiner so schnell annimmst.

Ich gebe dir die Daten eine nach dem anderen.
zuerst DLLCompare:

* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found ;)"
________________________________________________

1.181 items found: 1.181 files, 0 directories.
Total of file sizes: 213.344.921 bytes 203,46 M

Administrator Account = True

--------------------End log---------------------




Teil 2 Silentrunner Ergebnis:

"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS.0\System32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"notepad2.exe" = "popuper.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"F-Secure Manager" = ""C:\Programme\F-Secure\Common\FSM32.EXE" /splash" ["F-Secure Corporation"]
"F-Secure TNB" = ""C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL" ["F-Secure Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}\(Default) = "HP Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\System32\hp668.tmp" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\q208579_disk.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! style2\DLLName = "C:\WINDOWS.0\q208579_disk.dll" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Group Policies [Description]:
-----------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "NoActiveDesktopChanges"=dword:00000001
[prevents changes to Active Desktop; removes Web tab from Display Properties|
Desktop (tab)|Customize Desktop... (button)|Desktop Items (window)]

HIJACK WARNING! "NoDispBackgroundPage"=dword:00000001
[removes Display Properties, Desktop (tab)]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS.0\System32\\wppp.html"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"SCRNSAVE.EXE" = "C:\WINDOWS.0\System32\ATIOCE~1.SCR" (Ati Ocean.scr) [null data]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 24
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS.0\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
F-Secure Anti-Virus Firewall Daemon, FSDFWD, ""C:\Programme\F-Secure\FWES\Program\fsdfwd.exe"" ["F-Secure Corporation"]
F-Secure Automatic Update, BackWeb Client - 7681197, "C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE" [null data]
F-Secure Gatekeeper Handler Starter, F-Secure Gatekeeper Handler Starter, ""C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe"" ["F-Secure Corp."]
F-Secure Management Agent, FSMA, ""C:\Programme\F-Secure\Common\FSMA32.EXE"" ["F-Secure Corporation"]
F-Secure Network Request Broker, F-Secure Network Request Broker, ""C:\Programme\F-Secure\Common\FNRB32.EXE"" ["F-Secure Corporation"]
fsbwsys, fsbwsys, ""C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe"" ["F-Secure Corp."]
SAP-Agent, NwSapAgent, "C:\WINDOWS.0\System32\svchost.exe -k netsvcs" {"C:\WINDOWS.0\System32\ipxsap.dll" [MS]}




Teil 3:



PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS.0\system32\DVDAudio.ax: UPX!
C:\WINDOWS.0\system32\DVDVideo.ax: UPX!
C:\WINDOWS.0\system32\OLEEXT.0LL: UPX!
C:\WINDOWS.0\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS.0\system32\oembios.bin: qPEc2H
C:\WINDOWS.0\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS.0\system32\oembios.bin: qPEc2H

Files Found in all users startup Folder............
------------------------
C:\WINDOWS.0\system32\DVDAudio.ax: UPX!
C:\WINDOWS.0\system32\DVDVideo.ax: UPX!
C:\WINDOWS.0\system32\OLEEXT.0LL: UPX!
Files Found in all users windows Folder............
------------------------
C:\WINDOWS.0\RMAgentOutput.dll: UPX!
C:\WINDOWS.0\tsc.exe: UPX!
C:\WINDOWS.0\UNINSTIU.0XE: UPX!
C:\WINDOWS.0\vsapi32.dll: UPX!t4
C:\WINDOWS.0\popuper.exe: FSG!
Finished
bye




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98DD-98B0

Verzeichnis von C:\WINDOWS.0\system32

05.08.2005 13:07 2.048 intmonp.exe
05.08.2005 13:02 552 d3d8caps.dat
05.08.2005 12:46 1.621 wppp.html
05.08.2005 10:14 2.048 intmon.0xe
05.08.2005 10:07 6.656 hhk.dll
05.08.2005 10:07 52.736 hp668.tmp
05.08.2005 01:12 52.736 hpC008.tmp
05.08.2005 00:26 766 spyware.ico
05.08.2005 00:26 4.286 spam.ico
05.08.2005 00:26 2.238 pharm.ico
05.08.2005 00:26 2.238 network.ico
05.08.2005 00:26 2.238 Date.ico
29.07.2005 03:55 2.184 wpa.dbl


Verzeichnis von C:\DOKUME~1\BESITZ~1.DIR\LOKALE~1\Temp

05.08.2005 10:04 24.110 BWInstall.log
05.08.2005 10:04 24.576 IadHide4.dll
05.08.2005 10:02 5.310 plf2.tmp
05.08.2005 09:52 287.605 avg7inst.log
05.08.2005 02:11 8.039 HCF.tmp
05.08.2005 02:11 160.753 TMVAINFO.xml
05.08.2005 02:11 2.001 VS_REPORT
05.08.2005 02:11 8.885 SPYWARE_REPORT.DAT
05.08.2005 02:11 8.110 HCD.tmp
05.08.2005 01:18 2 WST.txt
05.08.2005 01:12 135.345 jusched.log
05.08.2005 00:33 16.384 ~DF6CF9.tmp
05.08.2005 00:26 2.026.700 PSGuardInstall.exe
05.08.2005 00:23 16.384 ~DF36ED.tmp
04.08.2005 21:17 16.384 ~DF6C8D.tmp
04.08.2005 14:38 16.384 ~DF204B.tmp
04.08.2005 09:30 16.384 ~DF730C.tmp
03.08.2005 18:20 16.384 ~DF7B30.tmp
01.08.2005 11:59 16.384 ~DF2F04.tmp
01.08.2005 08:23 16.384 ~DF3D3E.tmp
31.07.2005 23:35 1.107 Outlook Startup.Log
31.07.2005 23:23 16.384 ~DF6F69.tmp
31.07.2005 13:06 886 Outlook Startup.BAK
31.07.2005 13:05 16.384 ~DFBE37.tmp
31.07.2005 13:05 0 3BE0E.dmp
31.07.2005 12:01 16.384 ~DF71F3.tmp
30.07.2005 18:24 16.384 ~DF5F36.tmp
30.07.2005 10:43 16.384 ~DF67F1.tmp
29.07.2005 20:22 16.384 ~DF585A.tmp
29.07.2005 03:59 126.976 RX_9.tmp
29.07.2005 03:55 16.384 ~DF6595.tmp
26.07.2005 16:50 16.384 ~DF5A17.tmp
25.07.2005 15:27 16.384 ~DF50A1.tmp
18.07.2005 15:44 16.384 ~DF64E1.tmp
16.07.2005 10:38 16.384 ~DFAF75.tmp
16.07.2005 08:22 0 JET119B.tmp
16.07.2005 08:17 16.384 ~DF59C3.tmp
16.07.2005 07:59 16.384 ~DF6532.tmp
16.07.2005 07:35 16.384 ~DF6D60.tmp
16.07.2005 06:26 16.384 ~DF5EBD.tmp
16.07.2005 06:20 16.384 ~DF5AAD.tmp
15.07.2005 17:35 16.384 ~DF62E1.tmp
08.07.2005 07:53 16.384 ~DF6E4E.tmp
07.07.2005 16:09 16.384 ~DF684C.tmp
07.07.2005 09:14 16.384 ~DF5EDF.tmp
04.07.2005 14:51 16.384 ~DF575A.tmp
02.07.2005 15:49 16.384 ~DF5CAB.tmp
02.07.2005 05:53 16.384 ~DF44D8.tmp
01.07.2005 12:25 16.384 ~DF639F.tmp
01.07.2005 06:15 16.384 ~DF58E5.tmp
01.07.2005 04:41 16.384 ~DF577D.tmp
30.06.2005 14:51 16.384 ~DF5BE9.tmp
30.06.2005 08:42 16.384 ~DF5646.tmp
29.06.2005 09:51 16.384 ~DF5670.tmp
28.06.2005 14:32 16.384 ~DF5A74.tmp
28.06.2005 09:58 16.384 ~DF5A4F.tmp
28.06.2005 07:20 16.384 ~DF5A87.tmp
27.06.2005 12:03 16.384 ~DF6EFD.tmp
27.06.2005 08:05 16.384 ~DF6533.tmp
24.06.2005 12:39 16.384 ~DF5786.tmp
24.06.2005 07:17 16.384 ~DF4D34.tmp
24.06.2005 07:13 16.384 ~DF66D1.tmp
23.06.2005 13:48 16.384 ~DF5236.tmp
23.06.2005 11:26 16.384 ~DF56EC.tmp
21.06.2005 14:56 16.384 ~DF73F0.tmp

Verzeichnis von C:\WINDOWS.0

05.08.2005 13:07 0 0.log
05.08.2005 13:07 600.095 WindowsUpdate.log
05.08.2005 13:07 2.048 bootstat.dat
05.08.2005 13:06 162.084 ntbtlog.txt
05.08.2005 12:46 32.622 SchedLgU.Txt
05.08.2005 10:05 248.924 RunSetup.log
05.08.2005 10:05 2.208.690 FSSFM.log
05.08.2005 10:05 3.864.292 FSISU.log
05.08.2005 10:05 118.370 FSPROD.log
05.08.2005 10:05 2.274.449 FSSGUI.log
05.08.2005 10:05 716.138 FSSETUP.log
05.08.2005 10:05 3.244 fsavunin.log
05.08.2005 10:05 16.842 fsmainst.log
05.08.2005 10:05 5.312 FSSYSUPD.LOG
05.08.2005 10:05 166 MEHInst.log
05.08.2005 10:05 3.867 FSAVCSIN.LOG
05.08.2005 10:05 19.217 fwesinst.log
05.08.2005 10:05 6.527 pmsuinst.log
05.08.2005 10:05 1.965 fsdginst.log
05.08.2005 10:05 13.851 fstnbins.LOG
05.08.2005 10:05 9.017 fsrif.log
05.08.2005 10:05 3.936 fsbwinst.log
05.08.2005 10:05 7.267 fwinst.log
05.08.2005 10:05 24.629 FSAVINST.LOG
05.08.2005 10:04 10.219 FSGUIINS.LOG
05.08.2005 10:04 81.920 bwUnin-6.1.4.58-7681197L.exe
05.08.2005 10:03 81.298 FSDEPH.log
05.08.2005 10:03 126.732 FSSGSUP.LOG
05.08.2005 10:03 50 MEHUnIn.log
05.08.2005 10:02 1.214 Q-Klez.log
05.08.2005 02:11 680 TSC.ini
05.08.2005 02:11 4 RM_RESULT.DAT
05.08.2005 01:19 170 GetServer.ini
05.08.2005 01:18 133.383 setupapi.log
05.08.2005 01:18 1.142.784 TMUPDATE.DLL
05.08.2005 01:18 69.689 UNZIP.DLL
05.08.2005 01:18 208.896 PATCH.EXE
05.08.2005 00:27 2.172 sites.ini
05.08.2005 00:27 21.357 popuper.exe
05.08.2005 00:25 24.576 q208579_disk.dll
05.08.2005 00:25 3.072 UNINSTIU.0XE
04.08.2005 16:24 1.125 winamp.ini
04.08.2005 09:45 5.102 xnview.ini
03.08.2005 13:54 15.540.803 lpt$vpn.759
03.08.2005 13:54 15.540.803 VPTNFILE.759
02.08.2005 00:57 2.224.266 tsc.ptn
31.07.2005 12:29 578 M3JPEG.INI
13.07.2005 23:40 41.472 TMVAmain.ptn
13.07.2005 22:53 160.786 TMVAINFO.xml


Verzeichnis von C:\

05.08.2005 13:16 0 sys.txt
05.08.2005 13:15 10.464 system.txt
05.08.2005 13:13 24.199 systemtemp.txt
05.08.2005 13:10 95.871 system32.txt
05.08.2005 13:07 805.306.368 pagefile.sys
05.08.2005 13:05 1.180 log2.txt
05.08.2005 13:05 1.180 log.txt
05.08.2005 13:04 165 windows.txt
05.08.2005 13:02 428 win.txt
05.08.2005 12:58 122 start.txt
05.08.2005 09:51 96.582 AVG7DB_F.DAT
03.08.2005 10:03 72 bildesktop.ini
26.05.2005 17:09 72 kkvdesktop.ini



Sodelle, dass wars, hoffe dir sagt das mehr als mir :-)
Dieser Beitrag wurde am 05.08.2005 um 13:25 Uhr von DirkT editiert.
Seitenanfang Seitenende
05.08.2005, 13:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Gehe in die Registry

Start--Ausfuehren-> regedit

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\

loesche:
{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor"

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - URLSearchHook: (no name) - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - (no file)
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS.0\System32\hp668.tmp
O20 - Winlogon Notify: style2 - C:\WINDOWS.0\q208579_disk.dll

PC neustarten

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\DOKUME~1\BESITZ~1.DIR\LOKALE~1\TempIadHide4.dll
C:\DOKUME~1\BESITZ~1.DIR\LOKALE~1\plf2.tmp
C:\DOKUME~1\BESITZ~1.DIR\LOKALE~1\PSGuardInstall.exe
C:\WINDOWS.0\q208579_disk.dll
C:\WINDOWS.0\System32\wppp.html
C:\WINDOWS.0\system32\OLEEXT.0LL
C:\WINDOWS.0\UNINSTIU.0XE
C:\WINDOWS.0\popuper.exe
C:\WINDOWS.0\system32\intmonp.exe
C:\WINDOWS.0\system32\intmon.0xe
C:\WINDOWS.0\system32\hhk.dll
C:\WINDOWS.0\system32\hp668.tmp
C:\WINDOWS.0\system32\hpC008.tmp
C:\WINDOWS.0\system32\spyware.ico
C:\WINDOWS.0\system32\spam.ico
C:\WINDOWS.0\system32\pharm.ico
C:\WINDOWS.0\system32\network.ico
C:\WINDOWS.0\system32\Date.ico
C:\WINDOWS.0\sites.ini
C:\WINDOWS.0\popuper.exe
C:\WINDOWS.0\UNINSTIU.0XE

PC neustarten

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
http://www.bleepingcomputer.com/files/reg/smitfraud.reg
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

Ewido
--> poste mir das Log vom Scan
http://virus-protect.org/antivirenfree.html
+

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.08.2005, 16:06
...neu hier

Themenstarter

Beiträge: 4
#5 Hallo Sabina,

habe alle deine Anweisungen ausgeführt.

Bei "Ewido" konnte ich allerdings nicht deinen Link verwenden, da der IE dann ne Fehlermeldung gebracht hat. Der direktscan von der Ewido Homepage brachte auch nen Error, so dass ich das Programm runtergeladen habe und dann nen kompletten scan gemacht habe.

Folgend der Log von Ewido und der neue Hijackthis:


ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 15:54:52, 05.08.2005
+ Report-Checksumme: 5E35AD4A

+ Scanergebnis:

HKLM\SOFTWARE\Classes\ADM25.ADM25 -> Spyware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ADM25.ADM25\CurVer -> Spyware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\AppID\adm.EXE -> Spyware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\AppID\Altnet Signing Module.EXE -> Spyware.Altnet : Gesäubert mit Backup
HKLM\SOFTWARE\Cydoor -> Spyware.Cydoor : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\!CNS -> Spyware.CnsMin : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\!CNS\Enable -> Spyware.CnsMin : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup
HKLM\SOFTWARE\PerfectNav -> Spyware.KeenValue : Gesäubert mit Backup
C:\Downloads\backups\backup-20050805-144740-796.dll -> Trojan.Puper.g : Gesäubert mit Backup
C:\Programme\MyWay\myBar\3.bin\MY2NS.EXE -> Spyware.MyWay : Gesäubert mit Backup
C:\Programme\MyWay\myBar\3.bin\MYWAYPLUGINPROXY.CLASS -> Spyware.MyWay : Gesäubert mit Backup
C:\Programme\MyWay\myBar\3.bin\NPMYWAY.DLL -> Spyware.MyWay : Gesäubert mit Backup


::Report Ende



Logfile of HijackThis v1.99.1
Scan saved at 16:05:21, on 05.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\System32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS.0\System32\ctfmon.exe
C:\WINDOWS.0\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\F-Secure\Common\FSLAUNCH.EXE
C:\Downloads\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.0\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {E3489C0D-D07D-4281-A4A7-ADA8E9A0893F} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/cn/filesharingctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{22D60A64-03E9-4567-857F-4A2861A4FF3F}: NameServer = 217.237.150.33 217.237.150.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{22D60A64-03E9-4567-857F-4A2861A4FF3F}: NameServer = 217.237.150.33 217.237.150.141
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS.0\System32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
Seitenanfang Seitenende
05.08.2005, 17:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@DirkT

das hast du gut gemacht ;) es ist alles sauber
Alles Gute fuer dich+ PC

damit du auf meine Seite kommst:und auch ansonsten sicherer surfst:
#Alternativbrowser zum IE
Firefox
http://www.firefox-browser.de/windows.php
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html

vergiss nicht, die WindowsUpdates zu machen--> lade SP2 Achtung!
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.08.2005, 17:34
...neu hier

Themenstarter

Beiträge: 4
#7 Sabina,

ein herzliches Dankeschön für deine Hilfe. Es funktioniert wieder alles einwandfrei.

ich freue mich bei euch, bzw. dir so schnell kompetente Hilfe gefunden zu haben!

wünsche dir ein schönes und hoffentlich entspanntes Wochenende,

Liebe Gruessen Dirk T.
Seitenanfang Seitenende