winfixer 2005 problem

Thema ist geschlossen!
Thema ist geschlossen!
#0
24.10.2005, 23:08
...neu hier

Beiträge: 1
#61 Hallo,

auch ich habe das winfixerproblem. und was ich sagen wollte: entgegen der meinung das sich dieses programm bei rechnern mit servicepack2 nicht installiert, kann ich euch mitteilen, das mein standrechner dieses pack hat, und es für winfixer kein problem war sich zu installieren.

als nächstes werde ich die lösung von sabina ausprobieren, die scheint zu helfen.


gruss peter
Seitenanfang Seitenende
25.10.2005, 00:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#62 Hallo
PeterPopp

jede Winfixer Verseuchung hat eine andere dll, deshalb muss du das Log vom HijackThis hier posten

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.10.2005, 01:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#63 tom-CH

ich wusste, dass es Viren und backdoors sind...willst du formatieren? wenn nicht, arbeite alles ab, was ich geschrieben hatte und wenn du fertig bist:

poste die 4 logs (3 Monate vom Datum her reichen)
http://virus-protect.org/datfindbat.html

und poste auch alle scanreporte, vom Kaspersy, die du anwenden solltest

Zitat

Download: VundoFix.exe
http://virus-protect.org/artikel/tools/vundofix.html

* Lade und auf dem Desktop entpacken
* boote in den abgesicherten Modus (F8 druecken, wenn er PC hochfaehrt
* Double-click VundoFix.exe
* Klicke KillVundo.bat
* nun wird folgendes angezeigt: (sieh das blaue Bild auf der Seite )

* gebe nun ein:

C:\WINDOWS\System32\rtc.dll

* druecke Enter, und dann die F6 Taste, dann wieder Enter

es wird ein zweiter String verlangt.....kopiere ein:

C:\WINDOWS\System32\ctr.*

* dann wird sich HijackThis oeffnen:
* In HiJackThis, click FIX CHECKED:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.scbern.ch/index.php
R3 - URLSearchHook: UB Class - {00000000-15D9-4736-AB29-131578A45F2B} - C:\WINDOWS\system32\wsrchc3.dll
O2 - BHO: rtc - {0610C4E6-A0D0-45d8-B6CB-3CCD74296EBB} - C:\WINDOWS\System32\rtc.dll
O2 - BHO: LinkTracker Class - {6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} - C:\WINDOWS\system32\lmf32v.dll
O3 - Toolbar: Bluewin - {4E7BD74F-2B8D-469E-DCF7-E869A199B87D} - C:\WINDOWS\DOWNLO~1\bluewin.dll
O4 - HKLM\..\Run: [MELIS] C:\WINDOWS\melis.exe
O4 - HKLM\..\Run: [xhrmy] C:\WINDOWS\Xhrmy.exe
O4 - HKLM\..\Run: [wnddrv] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [iissrv] C:\WINDOWS\iissrv.exe

O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://connect.online-dialer.com/MaConnect.cab
O16 - DPF: {4E7BD74F-2B8D-469E-DCF7-E869A199B87D} (Bluewin) - http://service.bluewin.ch/toolbar/cab/bluewin.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx
O18 - Filter: text/html - {DFAA31C8-A356-4313-9D95-5EDAB46C5070} - C:\WINDOWS\system32\lmf32v.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\rtc.dll

PC neustarten

CCleaner (loesche alle temporaeren Dateien) , auch die index.dat anhaken
http://virus-protect.org/temp.html

KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:

C:\WINDOWS\melis.exe
C:\WINDOWS\Xhrmy.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\iissrv.exe
C:\WINDOWS\system32\wsrchc3.dll
C:\WINDOWS\system32\lmf32v.dll

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

Pc neustarten

scanne mit Kaspersky (Onlie) und poste den scanbericht
http://virus-protect.org/onlinescan.html
__________

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.10.2005, 08:49
...neu hier

Beiträge: 4
#64 Hallo zusammen...

habe auch das Problem mit diesem verflixten Winfixer!
Habe jetzt schon einige Hinweise aus dem Board befolgt und auch nochmal HIjackthis laufen lassen!
Könnte sich jemand mal mein Log anschauen - weil ich davon recht wenig Ahnung habe.

Vielen Dank vorab

Logfile of HijackThis v1.99.1
Scan saved at 08:21:41, on 25.10.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\DATEV\SYSTEM\PSNTSERV.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ypguofy.exe
C:\WINDOWS\explorer.exe
W:\Umlegung\Antivirentools\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von ***
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [DATEV Updateservice] C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: DATEV-Hinweis Mitteilungsdienst.lnk = C:\DATEV\PROGRAMM\A0000007\DHNC.exe
O4 - Global Startup: RZPJWTCH.LNK = C:\WINDOWS\SYSTEM32\RZPJWTCH.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://c:\PROGRA~1\MICROS~2\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.lok
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.lok
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***.lok
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: nwprovau - C:\WINDOWS\SYSTEM32\nwprovau.dll
O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\SYSTEM\PSNTSERV.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: NetOp Helper ver. 7.60 (2003146) (NetOp Host for NT Service) - Danware Data A/S - C:\DATEV\PROGRAMM\A0000008\NHOSTSVC.EXE
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe


Mir persönlich machen die Nail.exe (F8) und websearch (O8) einige Sorgen...
weil ich die auch nicht wegbekomme, deinstallieren oder löschen kann!
Dieser Beitrag wurde am 25.10.2005 um 08:52 Uhr von airwolfone editiert.
Seitenanfang Seitenende
25.10.2005, 12:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#65 Hallo@airwolfone

Zitat

ist das deine Domain ????
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.lok
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.lok
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***.lok
Lade diese Seite (ueber die Browserleiste oben -- Datei speichern -- abspeichern unter -- waehle Desktop - dann erscheint eine a.reg auf dem Desktop. (-- noch nicht anwenden)

http://virus-protect.org/reg/a.reg



öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\SYSTEM\blank.htm
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS

Hijackthis auf "open the misc tool section" klicken und dann auf "delete an NT Service" und die Namen angeben, aber mache dies nur bei diesen O23 Einträgen!

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

-- PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "a.reg" auf dem Desktop doppelklicken und mit "ja" bestaetigen, dass sie der Registry beigefuegt wird.

------------------------------------------------------------------------------

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Doppelklick:regsrch.vbs
reinkopieren:

SvcProc

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (von Symantec) --- ignorieren
warnmeldung:bösartiges skript entdeckt

FindIt's
http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip
Anleitung:
http://virus-protect.org/artikel/tools/FindIts.html

1. Entpacken und auf dem Desktop speichern
2. öffnen und doppelklicken: FindIt's.bat -- warte, bis der Editor sich öffnet -- text file. (hab Geduld, es kann eine Weile dauern) ...
3. Poste bitte die txt vom Scann in den Thread im Forum
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.10.2005, 19:35
...neu hier

Beiträge: 3
#66 Hello sabina

ein riesiges M-E-R-C-I für deine hilfe. der winfixer ist weg! das ist das wichtigste und dringendste..

als ich gestern den kapersky scannen lies ist er mir 2 mal abgestürzt...

ich werde formatieren, mein system hat das sowieso mal dringend nötig. ;)

eine frage noch: ich habe meine festplatte in drei teile unterteilt. kann ich meine fotos und wichtigen dateien (alle von mir) nach dem formatieren eines teils auf ebendiesen kopieren? oder schleppe ich dadurch viren rüber? auf cd werde ich alles sowieso sichern, aber es wäre bequemer wenn ichs nur rüberziehen könnte.

gruss tom
Seitenanfang Seitenende
25.10.2005, 20:49
Member

Beiträge: 16
#67 Hi Sabina,

sooo - jetzt hab ich deine Anweisungen befolgt...weiter unten der scanreport etc. - ich hoffe, dass ich deine Zeit nicht zu sehr in Anspruch nehme...

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 18:05:56, 25.10.2005
+ Report-Checksumme: 8597906A

+ Scanergebnis:

C:\WINDOWS\system32\byxwt.dll -> Spyware.Virtumonde : Gesäubert mit Backup


::Report Ende


-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, October 25, 2005 20:38:43
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 25/10/2005
Kaspersky Anti-Virus database records: 146800
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
G:\

Scan Statistics:
Total number of scanned objects: 95879
Number of viruses found: 11
Number of infected objects: 12
Number of suspicious objects: 22
Duration of the scan process: 5633 sec

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0EF00000.VBN Infected: Trojan-Dropper.VBS.Inor.dj
C:\Dokumente und Einstellungen\Christian Schäfer\Lokale Einstellungen\Anwendungsdaten\Identities\{F4B2E021-A53A-471C-985D-6B3C857EA2D9}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eBay Inc <identdep_op96@ebay.com>][Date Mon, 24 Oct 2005 16:25:38 +0100]/html Infected: Trojan-Spy.HTML.Bayfraud.hn
C:\Dokumente und Einstellungen\Christian Schäfer\Lokale Einstellungen\Anwendungsdaten\Identities\{F4B2E021-A53A-471C-985D-6B3C857EA2D9}\Microsoft\Outlook Express\Gelöschte Objekte.dbx Infected: Trojan-Spy.HTML.Bayfraud.hn
C:\System Volume Information\_restore{901BD9EC-42C6-4307-B24E-97B7AB4A7E38}\RP507\A0055312.exe Infected: Trojan-Downloader.Win32.Agent.ts
C:\System Volume Information\_restore{901BD9EC-42C6-4307-B24E-97B7AB4A7E38}\RP507\A0055360.exe Infected: Trojan-Downloader.Win32.Dyfuca.ei
C:\System Volume Information\_restore{901BD9EC-42C6-4307-B24E-97B7AB4A7E38}\RP507\A0055364.exe Infected: Trojan-Downloader.Win32.IstBar.gen
C:\System Volume Information\_restore{901BD9EC-42C6-4307-B24E-97B7AB4A7E38}\RP507\A0055368.exe Infected: Trojan-Downloader.Win32.IstBar.jm
C:\System Volume Information\_restore{901BD9EC-42C6-4307-B24E-97B7AB4A7E38}\RP507\A0055373.dll Infected: Trojan-Downloader.Win32.IstBar.ms
C:\System Volume Information\_restore{901BD9EC-42C6-4307-B24E-97B7AB4A7E38}\RP507\A0055374.exe Infected: Trojan-Downloader.Win32.IstBar.ij
C:\System Volume Information\_restore{901BD9EC-42C6-4307-B24E-97B7AB4A7E38}\RP507\A0055375.dll Infected: Trojan-Downloader.Win32.Dyfuca.gen
C:\WINDOWS\system32\colrtosa.exe Infected: Trojan.Win32.Crypt.t
C:\WINDOWS\system32\dmupxspx.dll Infected: Trojan.Win32.Crypt.t
G:\Secure & Compress\Appz, Patches und Treiber\Burning (multiple)\Nero (multiple)\nero 5.5.9.14\tsrh-nero55914_kg.exe.PMS/tsrh-nero55914_kg.exe Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\Burning (multiple)\Nero (multiple)\nero 5.5.9.14\tsrh-nero55914_kg.exe.PMS Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\DVD (multiple)\windvd 4.0 plus\Win DVD v4.0 Plus\Intervideo.WinDVD.4.x.keyg*hier nicht*.exe.PMS/Intervideo.WinDVD.4.x.keyg*hier nicht*.exe Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\DVD (multiple)\windvd 4.0 plus\Win DVD v4.0 Plus\Intervideo.WinDVD.4.x.keyg*hier nicht*.exe.PMS Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\Vector Nti 9 Advanced & Patch\Vector Nti Advanced v9.0 Patch.exe.PMS/Vector Nti Advanced v9.0 Patch.exe Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\Vector Nti 9 Advanced & Patch\Vector Nti Advanced v9.0 Patch.exe.PMS Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\winvnc\_ISDel.exe.PMS/_ISDel.exe Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\winvnc\_ISDel.exe.PMS Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\winvnc\Setup.exe.PMS/Setup.exe Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\winvnc\Setup.exe.PMS Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\Partition Manager\Setup.exe.PMS/Setup.exe Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\Partition Manager\Setup.exe.PMS Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\DRTCP021.exe.PMS/DRTCP021.exe Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\DRTCP021.exe.PMS Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\msnaddin.exe.PMS/msnaddin.exe Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\msnaddin.exe.PMS Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\SETUP.EXE.PMS/SETUP.EXE Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\SETUP.EXE.PMS Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\Canvas.X-ZWT\keyg*hier nicht*.exe.PMS/keyg*hier nicht*.exe Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\Canvas.X-ZWT\keyg*hier nicht*.exe.PMS Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\Viren-Defence\VundoFix.exe.PMS/VundoFix.exe Suspicious: Password-protected-EXE
G:\Secure & Compress\Appz, Patches und Treiber\Viren-Defence\VundoFix.exe.PMS Suspicious: Password-protected-EXE

Scan process completed.


Logfile of HijackThis v1.99.1
Scan saved at 20:45:51, on 25.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\vpn\cvpnd.exe
C:\Programme\Symantec Norton Antivirus\DefWatch.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Symantec Norton Antivirus\Rtvscan.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\programme\clone cd 4.4.3.1.0\CloneCDTray.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programme\Freecom Personal Media Suite\FCPMS.exe
C:\Programme\VNC\WinVNC.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\rsvp.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Rar$EX06.617\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\tuvur.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\byxwt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] c:\programme\clone cd 4.4.3.1.0\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "c:\programme\clone cd 4.4.3.1.0\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Freecom Personal Media Suite.lnk = C:\Programme\Freecom Personal Media Suite\FCPMS.exe
O4 - Startup: Verknüpfung mit WinVNC.lnk = C:\Programme\VNC\WinVNC.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\vpn\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Programme\AWS\WeatherBug\Weather.exe (HKCU)
O12 - Plugin for .cdx: C:\Programme\Internet Explorer\PLUGINS\Npcdp32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab_adult/180solutions/ie/bridge-c9.cab
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://labor.fotoservice.web.de/static/download/WDU_1251.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Programme\Informax\Vector NTI Suite 9\Ncbi.dll
O20 - Winlogon Notify: byxwt - C:\WINDOWS\system32\byxwt.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O20 - Winlogon Notify: tuvur - C:\WINDOWS\SYSTEM32\tuvur.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\vpn\cvpnd.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec Norton Antivirus\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec Norton Antivirus\Rtvscan.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
Seitenanfang Seitenende
26.10.2005, 00:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#68

Zitat

tom-CH postete
Hello sabina

ein riesiges M-E-R-C-I für deine hilfe. der winfixer ist weg! das ist das wichtigste und dringendste..

als ich gestern den kapersky scannen lies ist er mir 2 mal abgestürzt...

ich werde formatieren, mein system hat das sowieso mal dringend nötig. ;)

eine frage noch: ich habe meine festplatte in drei teile unterteilt. kann ich meine fotos und wichtigen dateien (alle von mir) nach dem formatieren eines teils auf ebendiesen kopieren? oder schleppe ich dadurch viren rüber? auf cd werde ich alles sowieso sichern, aber es wäre bequemer wenn ichs nur rüberziehen könnte.

gruss tom
ich wuerde erst mal reinigen, um sicher zu gehen, dass das Groebste weg ist.
Andererseits denke ich, dass Fotos und Dokumente "sauber sind" ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.10.2005, 00:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#69 Hallo@Panther23

Double-click VundoFix.exe
* Klicke KillVundo.bat

* gebe nun ein:

C:\WINDOWS\SYSTEM32\tuvur.dll

* druecke Enter, und dann die F6 Taste, dann wieder Enter

es wird ein zweiter String verlangt.....kopiere ein:

C:\WINDOWS\System32\ruvut.*

* dann wird sich HijackThis oeffnen:
* In HiJackThis, click FIX CHECKED:

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\tuvur.dll
O2 - BHO: (no name) - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\byxwt.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab_adult/180solutions/ie/bridge-c9.cab
O20 - Winlogon Notify: byxwt - C:\WINDOWS\system32\byxwt.dll
O20 - Winlogon Notify: tuvur - C:\WINDOWS\SYSTEM32\tuvur.dll

danach starte den PC neu

* es wird ein "Blue Screen of Death" sein, das ist normal ......

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:

C:\WINDOWS\system32\byxwt.dll
C:\WINDOWS\SYSTEM32\tuvur.dll
C:\WINDOWS\system32\colrtosa.exe
C:\WINDOWS\system32\dmupxspx.dll

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

dann poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.10.2005, 00:38
...neu hier

Beiträge: 1
#70 Hallo, nun hat mich auch dieses winfixer / SurfAccuracy - Problem erwischt.
Ich hoffe, ich kann das Zeug mit eurer Hilfe beseitigen.

Mit eScanCheck hab ich schon versucht zu löschen, leider erfolglos.

Ich poste mal das aktuelle HiJackThis-log:

Logfile of HijackThis v1.99.1
Scan saved at 00:09:47, on 26.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SurfAccuracy\SAcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\flatrate\flatrate.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ProgRunner\ProgRunner.exe
G:\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - Startup: FlatrateSteckdose.lnk = C:\Programme\flatrate\flatrate.exe
O4 - Startup: Internet Explorer Browser starten.lnk = C:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - Startup: Verknüpfung mit emule.exe.lnk = C:\Programme\emule\eMule0.26d-sivka.v6b2-bin\emule.exe
O4 - Startup: Verknüpfung mit ProgRunner.exe.lnk = C:\Programme\ProgRunner\ProgRunner.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Formulare speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Aus&füllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Menü a&npassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI

RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Aus&füllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI

RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI

RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: &Formulare speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber

Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI

RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Robo Symbolleiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber

Systems\AI RoboForm\RoboFormComShowToolbar.html
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -

http://207.188.7.150/17aec567bb186ebaa417/netzip/RdxIE601_de.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) -

http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) -

http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) -

http://f009.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) -

http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) -

http://asp04.photoprintit.de/microsite/1074/defaults/activex/ImageUploader3.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
Seitenanfang Seitenende
26.10.2005, 01:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#71 tobitoba

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - Startup: Verknüpfung mit emule.exe.lnk = C:\Programme\emule\eMule0.26d-sivka.v6b2-bin\emule.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

PC neustarten

DelTree (include SubDirectories)
http://virus-protect.org/killbox.html
Man will zum Beispiel einen Ordner löschen . Nun muss man nicht alle Dateien im Ordner einzeln eingeben, sondern klickt die Option DelTree (include subdirectories).
Hierbei wird ein komplettes Archiv mitsamt der Unterordner gelöscht.

C:\Programme\SurfAccuracy
PC neustarten

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.10.2005, 08:06
...neu hier

Beiträge: 4
#72

Zitat

Sabina postete
Hallo@airwolfone
...

Zitat

ist das deine Domain ????
Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Doppelklick:regsrch.vbs
reinkopieren:

SvcProc

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (von Symantec) --- ignorieren
warnmeldung:bösartiges skript entdeckt
....
3. Poste bitte die txt vom Scann in den Thread im Forum
Hallo Sabina...

hier mein Script:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "SvcProc" 26.10.2005 07:57:22

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000]
"Service"="SvcProc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC\0000]
"Service"="SvcProc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000]
"Service"="SvcProc"


und hier mein find it's Log:


Microsoft Windows 2000 [Version 5.00.2195]
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first

* UPX! C:\WINDOWS\System32\ZZLNBW.EXE
* UPX! C:\WINDOWS\System32\STRINGS.EXE
* UPX! C:\WINDOWS\SMILEY.EXE
* UPX! C:\WINDOWS\SVCPROC.EXE
* UPX! C:\WINDOWS\RQZSVH~1.EXE
* UPX! C:\WINDOWS\NAIL.EXE

»»»»» lagitamate file's can/will show in this section.

* UPX! C:\WINDOWS\System32\DRPMON.DLL
»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»» Checking Windir\svcproc.exe and nail.exe.

svcproc.exe
Nail.exe
»»»»» Checking for System32\DrPMon.dll.

DrPMon.dll
»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3D2A-14D7

Verzeichnis von C:\WINDOWS\SYSTEM32

»»»»» Checking for SAHAgent ico files.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3D2A-14D7

Verzeichnis von C:\WINDOWS\system32

02.04.2001 17:17 1.078 DATEV.ico
1 Datei(en) 1.078 Bytes
0 Verzeichnis(se), 34.426.454.016 Bytes frei

»»»»»»»»»»»»»»»»»»»»»»»».


achso: ja - das ist meine Domain... :-)

MfG airwolfone
Dieser Beitrag wurde am 26.10.2005 um 08:16 Uhr von airwolfone editiert.
Seitenanfang Seitenende
26.10.2005, 11:52
Member

Beiträge: 16
#73 Hi Sabina,

so, das ist nun der logfile!
Vielen Dank für die Mühe, die du dir machst!

Viele Grüße,
panther23

Logfile of HijackThis v1.99.1
Scan saved at 11:50:43, on 26.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\vpn\cvpnd.exe
C:\Programme\Symantec Norton Antivirus\DefWatch.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Symantec Norton Antivirus\Rtvscan.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\programme\clone cd 4.4.3.1.0\CloneCDTray.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Freecom Personal Media Suite\FCPMS.exe
C:\Programme\VNC\WinVNC.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Rar$EX00.111\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\tuvur.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\byxwt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] c:\programme\clone cd 4.4.3.1.0\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "c:\programme\clone cd 4.4.3.1.0\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Freecom Personal Media Suite.lnk = C:\Programme\Freecom Personal Media Suite\FCPMS.exe
O4 - Startup: Verknüpfung mit WinVNC.lnk = C:\Programme\VNC\WinVNC.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\vpn\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Programme\AWS\WeatherBug\Weather.exe (HKCU)
O12 - Plugin for .cdx: C:\Programme\Internet Explorer\PLUGINS\Npcdp32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://labor.fotoservice.web.de/static/download/WDU_1251.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Programme\Informax\Vector NTI Suite 9\Ncbi.dll
O20 - Winlogon Notify: byxwt - C:\WINDOWS\system32\byxwt.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O20 - Winlogon Notify: tuvur - C:\WINDOWS\SYSTEM32\tuvur.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\vpn\cvpnd.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec Norton Antivirus\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec Norton Antivirus\Rtvscan.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
Seitenanfang Seitenende
26.10.2005, 13:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#74 Hallo@airwolfone

die Reinigung beginnt, wenn du mir noch folgendes postest:

datfindbat--> zwei Monate vom Datum her genuegen und bitte auch die Pfadangaben von jedem der 4 Logs oberhalb mit abkopieren
http://virus-protect.org/datfindbat.html

winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.10.2005, 13:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#75 Hallo@Panther23

das Vundofix -Tool scheint den Hijacker nicht zu loeschen...arbeitest du immer alles korrekt ab?

poste mir das log von Option 1
http://virus-protect.org/l2mfix.html

datfindbat--> zwei Monate vom Datum her genuegen und bitte auch die Pfadangaben von jedem der 4 Logs oberhalb mit abkopieren
http://virus-protect.org/datfindbat.html

Öffne Notepad (editor)Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheint ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor

2. kopiere den Code rein:


Zitat

echo ** This batch was originally written by OSC **
cd C:\WINDOWS\system32\byxwt.dll
if exist C:\contents.txt del C:\contents.txt
echo ************************************>> C:\contents.txt
echo **These are the hidden files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:h >> c:\contents.txt echo ************************************>> C:\contents.txt
echo **These are the system files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:s >> C:\contents.txt
attrib /d /s -s -r -h -a
start notepad c:\contents.txt
exit
3. Speichere die Datei als findtheother.bat auf dem Desktop

4. Doppel klick auf diese Datei findtheother.bat (abkopieren und posten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: