Home » Spyware & Browser Hijacker Support Forum » PSGuard, Smitfraud, etc. » Themenansicht

PSGuard, Smitfraud, etc.
#0
09.08.2005, 11:36
baerle97
...neu hier

Beiträge: 4
#1 Hallo,

letzte Woche hat auch bei uns der Virus zugeschlagen. Habe schon alles mögliche versucht, die Sachen zu bereinigen aber bei jedem Neustart ist (fast) alles wieder da.

Es erscheint sofort nach dem Start des PCs folgende Meldung:
explorer.exe - Fehler in Anwendung
Die Anweisung in "0x00000000" verweist auf Speicher in "0x00000000". Der Vorgang "read" konnte nicht auf dem Speicher durchgeführt werden.

Sobald man auf OK klickt, kann man kurz eine Applikation starten und auch damit arbeiten.

Unten in der Taskleiste erscheint ein roter Kreis mit einem weißen Ausrufungszeichen. Manchmal starten sich PSGuard automatisch.

Adaway und Adware-Away erkennen PSGuard und Smitfraud. Nach ein paar Durchgängen kann man das System soweit hinkriegen, dass die Explorermeldung wegbleibt - aber wie gesagt, nach dem Neustart ist alles wieder da.

Ich habe schon einige Sachen aus den verschiedenen Threads versucht aber bis jetzt hat nichts geholfen. Hier sind die Logfiles, die diverse Programme ausgespuckt haben:

Logfile of HijackThis v1.99.0
Scan saved at 11:07:46, on 09.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\WINDOWS\System32\svchost.exe
D:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
D:\WINDOWS\system32\PRISMSTA.EXE
D:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
D:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe
D:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
D:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe
D:\WINDOWS\system32\RunDll32.exe
D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
D:\WINDOWS\Twain_32\SlimU2\HotKey.exe
D:\Programme\FreePDF_XP\fpassist.exe
D:\WINDOWS\system32\intell32.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\_Install\Tools_System\HijackThis\HijackThis.exe
D:\WINDOWS\explorer.exe
D:\WINDOWS\System32\imapi.exe

O1 - Hosts: 213.203.223.16 ftp.physiotherapie-letzigrund.ch
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [PCMService] "D:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [pccguide.exe] "D:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "D:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "D:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [HotKey] D:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [FreePDF Assistant] D:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] D:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [intell32.exe] D:\WINDOWS\system32\intell32.exe
O4 - HKLM\..\Run: [PSGuard] D:\Programme\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://D:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://D:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://D:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://www.diekosoks.de
O23 - Service: PC-cillin PersonalFirewall - Trend Micro Inc. - D:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Inc. - D:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
O23 - Service: X10 Device Network Service - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

DLLCompare
* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found ;)"
________________________________________________

1.311 items found: 1.311 files, 0 directories.
Total of file sizes: 277.700.883 bytes 264,84 M

Administrator Account = Wahr

--------------------End log---------------------


SilentRunners
"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "D:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"PRISMSTA.EXE" = "PRISMSTA.EXE START" ["Intersil Americas Inc."]
"PCMService" = ""D:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"" [empty string]
"Wise-FTP Scheduler" = (empty string)
"pccguide.exe" = ""D:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"" ["Trend Micro Inc."]
"PCCClient.exe" = ""D:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"" ["Trend Micro Inc."]
"Pop3trap.exe" = ""D:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"" ["Trend Micro Inc."]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"NeroFilterCheck" = "D:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"SunJavaUpdateSched" = "D:\Programme\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."]
"HotKey" = "D:\WINDOWS\Twain_32\SlimU2\HotKey.exe" ["Pmx. Electronics Ltd."]
"FreePDF Assistant" = "D:\Programme\FreePDF_XP\fpassist.exe" [null data]
"PinnacleDriverCheck" = "D:\WINDOWS\system32\PSDrvCheck.exe -CheckReg" [empty string]
"KernelFaultCheck" = "D:\WINDOWS\system32\dumprep 0 -k" [MS]
"intell32.exe" = "D:\WINDOWS\system32\intell32.exe" [null data]
"PSGuard" = "D:\Programme\PSGuard\PSGuard.exe" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{33D0B7CC-535E-4CD0-B33A-934372B1AEFD}" = "Wise-FTP Network Places"
-> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\we.dll" ["AceBIT GmbH"]
"{48F45200-91E6-11CE-8A4F-0080C81A28D4}" = "TMD Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Trend Micro\PC-cillin 2002\Tmdshell.dll" ["Trend Micro Inc."]
"{771A9DA0-731A-11CE-993C-00AA004ADB6C}" = "VBPropSheet"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Trend Micro\PC-cillin 2002\VBProp.dll" ["Trend Micro Inc."]
"{FED7043D-346A-414D-ACD7-550D052499A7}" = "dBpowerAMP Music Converter 1"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\dBpowerAMP\dBShell.dll" [empty string]
"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpowerAMP Music Converter"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\dBpowerAMP\dMCShell.dll" [empty string]
"{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}" = "SnagIt"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll" ["TechSmith Corporation"]
"{CF74B903-3389-469c-B3B6-0204D204FCBD}" = "SnagIt Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll" ["TechSmith Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor"
-> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\q199390_disk.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! style2\DLLName = "D:\WINDOWS\q199390_disk.dll" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
SnagItMainShellExt\(Default) = "{CF74B903-3389-469c-B3B6-0204D204FCBD}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll" ["TechSmith Corporation"]
WS_FTP\(Default) = "{797F3885-5429-11D4-8823-0050DA59922B}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Ipswitch\WS_FTP Pro\wsftpsi.dll" ["Ipswitch, Inc. 10 Maguire Road - Suite 220 Lexington, MA 02421"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
SnagItMainShellExt\(Default) = "{CF74B903-3389-469c-B3B6-0204D204FCBD}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll" ["TechSmith Corporation"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WS_FTP\(Default) = "{797F3885-5429-11D4-8823-0050DA59922B}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Ipswitch\WS_FTP Pro\wsftpsi.dll" ["Ipswitch, Inc. 10 Maguire Road - Suite 220 Lexington, MA 02421"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "D:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Petra" & "All Users" startup folders:
-------------------------------------------------------

D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Adobe Reader - Schnellstart" -> shortcut to: "D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Microsoft Office" -> shortcut to: "D:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "d:\programme\google\googletoolbar1.dll" ["Google Inc."]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "d:\programme\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "d:\programme\google\googletoolbar1.dll" ["Google Inc."]

"{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}" = "SnagIt" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll" ["TechSmith Corporation"]

Explorer Bars

Dormant Explorer Bars in "View, Explorer Bar" menu

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\ = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"


HOSTS file
----------

D:\WINDOWS\System32\drivers\etc\HOSTS

maps: 2 domain names to IP addresses,
1 of the IP addresses is *not* localhost!


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Machine Debug Manager, MDM, ""D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
PC-cillin PersonalFirewall, PCCPFW, "D:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe" ["Trend Micro Inc."]
Trend NT Realtime Service, Tmntsrv, ""D:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe"" ["Trend Micro Inc."]
X10 Device Network Service, x10nets, "D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe" ["X10"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 77 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 10 seconds.
---------- (total run time: 116 seconds)


RKFiles
C:\_Install\Tools_System\RKFiles

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
D:\WINDOWS\system32\intell32.exe: UPX!
D:\WINDOWS\system32\oleext.dll: UPX!
D:\WINDOWS\system32\tksrv99.exe: UPX!
D:\WINDOWS\system32\ucsi.exe: UPX!
D:\WINDOWS\system32\ole32vbs.exe: FSG!
D:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
D:\WINDOWS\MEMORY.DMP: UPX!
D:\WINDOWS\q199390_disk.dll: UPX!
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\start.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\windows.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\start.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\windows.txt
D:\WINDOWS\MEMORY.DMP: FSG!
D:\WINDOWS\MEMORY.DMP: FSG!
D:\WINDOWS\MEMORY.DMP: =ENPeQr}+?F+M=3>^FSg!V_(cS?wd[FD7gc'c
D:\WINDOWS\popuper.exe: FSG!
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\start.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\windows.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\start.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\win.txt
Finished
bye

Dos-Anweisungen
Verzeichnis von D:\WINDOWS\system32

09.08.2005 11:05 13.646 wpa.dbl
09.08.2005 09:58 6.144 intell32.exe
08.08.2005 11:50 52.736 hp8A1.tmp
08.08.2005 08:04 2.048 intmonp.exe
03.08.2005 00:58 766 spyware.ico
03.08.2005 00:58 4.286 spam.ico
03.08.2005 00:58 2.238 pharm.ico
03.08.2005 00:58 2.238 network.ico
03.08.2005 00:58 2.238 Date.ico
03.08.2005 00:51 0 winstyle3.dll
03.08.2005 00:50 4.286 ptainfo2.ico
03.08.2005 00:50 4.286 ptainfo1.ico
24.06.2005 14:43 1.024 pdf2word.DAT
06.06.2005 11:03 982.016 FNTCACHE.DAT

Verzeichnis von D:\DOKUME~1\Petra\LOKALE~1\Temp

09.08.2005 11:05 16.384 ~DFED7D.tmp
09.08.2005 11:05 24.948 jusched.log
09.08.2005 10:38 404 kb.log
21.07.2005 14:04 3.582 TWAIN.LOG
21.07.2005 14:04 431.622 Preview.bmp
21.07.2005 14:04 168 CONFIG.DAT
21.07.2005 14:04 103.950 WhiteDPCM.dat
21.07.2005 14:04 89.100 BlackDPCM.dat
21.07.2005 14:04 30.720 NoStaggerWhiteShading.txt
21.07.2005 14:03 30.720 NoStaggerBlackShading.txt
21.07.2005 14:03 4 Twain001.Mtx
21.07.2005 14:03 156 Twunk001.MTX
20.07.2005 23:40 19.574 java_install_reg.log
19.07.2005 13:41 2.399 psftpfreedirlist.txt
19.07.2005 13:30 16.384 ~WRF0002.tmp
16.07.2005 19:14 80 574F41BA.TMP
15.07.2005 18:26 72 A5B56640.TMP
14.07.2005 14:39 548.352 vs60wiz.exe
13.07.2005 16:36 16.384 ~WRF0001.tmp
28.06.2005 11:43 131 wecerr.txt
25.06.2005 13:24 34.427 SCSILog0.txt
23.06.2005 10:06 315.112 txt19.txt
23.06.2005 10:06 0 txt19.tmp
23.06.2005 09:55 48.225 S2ID.tmp
22.06.2005 17:33 30.720 PreWhiteShading.txt
22.06.2005 17:33 30.720 PreBlackShading.txt
17.06.2005 00:15 67 5DC7ECF2.TMP
08.06.2005 17:35 38.429 SCSILog1.txt
08.06.2005 15:55 844.644 compile.lib
08.06.2005 13:29 5.117 ~WRD2071.doc
08.06.2005 09:13 16.384 ~WRF0000.tmp
06.06.2005 12:03 0 NBRD.tmp
06.06.2005 10:38 42.162 CND1E.tmp
06.06.2005 10:38 42.162 CND1D.tmp
06.06.2005 10:35 0 ~15.tmp
06.06.2005 10:32 0 ~4.tmp
06.06.2005 10:32 0 ~2.tmp

Verzeichnis von D:\WINDOWS

09.08.2005 11:06 0 0.log
09.08.2005 11:05 159 wiadebug.log
09.08.2005 11:05 50 wiaservc.log
09.08.2005 11:05 2.048 bootstat.dat
09.08.2005 11:04 22.953 WindowsUpdate.log
09.08.2005 09:45 4.555 TMFilter.log
09.08.2005 09:43 980.265 setupapi.log
08.08.2005 13:26 148.112 ntbtlog.txt
08.08.2005 13:16 3.180 rkfiles.bat
03.08.2005 01:03 822 win.ini
03.08.2005 00:58 21.357 popuper.exe
03.08.2005 00:58 2.172 sites.ini
03.08.2005 00:55 536.428.544 MEMORY.DMP
27.07.2005 22:29 14.336 q199390_disk.dll
27.07.2005 00:01 29.248 wmsetup.log
27.07.2005 00:00 2.125 OEWABLog.txt
21.07.2005 13:48 52 Pex.INI
21.07.2005 13:41 612 Ulead32.ini
19.07.2005 15:21 259 system.ini
14.07.2005 19:24 374 pdf2rtf.INI
01.07.2005 13:57 111.298 setupact.log
01.07.2005 11:31 116 NeroDigital.ini
30.06.2005 12:40 1.388 IE4 Error Log.txt

Verzeichnis von D:\

09.08.2005 11:31 0 sys.txt
09.08.2005 11:30 7.501 system.txt
09.08.2005 11:29 8.646 systemtemp.txt
09.08.2005 11:28 102.385 system32.txt
09.08.2005 11:04 805.306.368 pagefile.sys
20.07.2005 12:40 55 VS97SP2.LOG
6 Datei(en) 805.424.955 Bytes
0 Verzeichnis(se), 17.111.945.216 Bytes frei

So, das wars ersmal. Hoffe, es kann mir jemand helfen.
Im Voraus schon mal vielen Dank.

Gruß Petra[/img]
Seitenanfang Seitenende
09.08.2005, 13:43
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@baerle97

irgendwas stimmt nicht mit der D:\WINDOWS\MEMORY.DMP

geladen am 3.08.
03.08.2005 00:55 536.428.544 MEMORY.DMP

D:\WINDOWS\MEMORY.DMP: =ENPeQr}+?F+M=3>^FSg!V_(cS?wd[FD7gc'c

einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

-----------------------------------------------------------------------------------

gehe in die Registry

Start-->Ausfuehren-->regedit

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\

loeschen
"{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor"
-> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\q199390_disk.dll"

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

loeschen
style2\DLLName = "D:\WINDOWS\q199390_disk.dll"

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [intell32.exe] D:\WINDOWS\system32\intell32.exe
O4 - HKLM\..\Run: [PSGuard] D:\Programme\PSGuard\PSGuard.exe

PC neustarten

Zitat

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken
•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

D:\WINDOWS\system32\intell32.exe
D:\Programme\PSGuard\PSGuard.exe
D:\Programme\PSGuard
D:\WINDOWS\q199390_disk.dll
D:\WINDOWS\system32\oleext.dll
D:\WINDOWS\system32\tksrv99.exe
D:\WINDOWS\system32\ucsi.exe
D:\WINDOWS\system32\ole32vbs.exe
D:\WINDOWS\system32\hp8A1.tmp
D:\WINDOWS\system32\intmonp.exe
D:\WINDOWS\system32\spyware.ico
D:\WINDOWS\system32\spam.ico
D:\WINDOWS\system32\pharm.ico
D:\WINDOWS\system32\network.ico
D:\WINDOWS\system32\Date.ico
D:\WINDOWS\system32\winstyle3.dll
D:\WINDOWS\system32\ptainfo2.ico
D:\WINDOWS\system32\ptainfo1.ico
D:\WINDOWS\popuper.exe
D:\WINDOWS\sites.ini
D:\WINDOWS\MEMORY.DMP

PC neustarten

Lade :smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
Oeffne smitRem folder, Doppelklick: RunThis.bat

warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

Ewido-->scanne + poste das log vom Scan
http://virus-protect.org/antivirenfree.html

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________



INfo:
O20 - Winlogon Notify: style2 - C:\WINDOWS\system32\winstyle3.dll
C:\WINDOWS\SYSTEM\tksrv99.exe infected
by "Trojan-Dropper.Win32.Agent.ik
C:\WINNT\system32\tksrv99.exe infected by "Trojan-Downloader.Win32.Esepor.y"
Virus.

C:\WINDOWS\System32\ucsi.exe infected by "Backdoor.Win32.Agent.bc"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.08.2005, 23:21
baerle97
...neu hier

Themenstarter

Beiträge: 4
#3 Hallo Sabina,

vielen Dank für die schnelle Hilfe. Es sieht jetzt etwas besser aus aber nicht gut. Die Explorer-Meldung und PSGuard sind weg. Allerdings läuft der PC richtig langsam und mit der Mailübertragung (Outlook) stimmt auch was nicht. Das geht mal und mal nicht.

Das mit der Virustotal-Überprüfung hat leider nicht funktioniert. Weder über das direkte upload noch über die Option per Mail konnte ich die memory.dmp überspielen. Aber eine der Routinen hat diese Datei eh gelöscht, von daher scheint das Problem an dieser Stelle behoben zu sein.

Hier ist noch das Log von ewido:

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 23:03:31, 09.08.2005
+ Report-Checksumme: C834D8FD

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{9896231A-C487-43A5-8369-6EC9B0A96CC0} -> Spyware.Hijacker.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{C5991634-0185-4B0D-B4F9-6C45597962B7} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKU\S-1-5-21-606747145-1343024091-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9896231A-C487-43A5-8369-6EC9B0A96CC0} -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\data -> TrojanDownloader.IstBar.ja : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0007070.exe.bkp -> TrojanDownloader.Small.aom : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0007689.dll.bkp -> Trojan.Puper.ah : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0007699.dll.bkp -> Trojan.Puper.ah : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0007709.dll.bkp -> Trojan.Puper.ah : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008709.dll.bkp -> Trojan.Puper.ah : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008714.exe.bkp -> Trojan.Puper.af : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008722.exe.bkp -> Trojan.Puper.w : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008723.exe.bkp -> Trojan.Puper.ai : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008737.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008738.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008739.dll.bkp -> Trojan.Puper.ah : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008749.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008750.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008756.exe.bkp -> Trojan.Small.ev : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008762.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008773.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008781.exe.bkp -> TrojanDownloader.Zlob.aa : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008831.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008838.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008854.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008864.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0008892.exe.bkp -> Trojan.Small.ev : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0009137.exe.bkp -> Trojan.Small.ev : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\A0009145.dll.bkp -> Trojan.Small.ev : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\intell32.exe.bad.bkp -> Trojan.Small.ev : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\intell32.exe.bkp -> Trojan.Small.ev : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\intmonp.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\q199390_disk.dll.bkp -> TrojanDownloader.Delf.pa : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\TCPService2.exe.bkp -> TrojanDownloader.Agent.kx : Gesäubert mit Backup
D:\Programme\EScanCheck\ECBackup\ucsi.exe.bkp -> TrojanDropper.Agent.hc : Gesäubert mit Backup
D:\WINDOWS\system32\PSDrvCheck.KO -> Spyware.Hijacker.Generic : Gesäubert mit Backup


::Report Ende

Soll ich jetzt noch was anderes machen?

Gruß Petra
Seitenanfang Seitenende
10.08.2005, 11:23
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4

Zitat

Sabina postete

•AboutBuster (scanne im abgesicherten modus, bis keine Fehlermeldung mehr kommt-->dann poste mir bitte den Report)
http://virus-protect.org/antispywaretools.html
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus) ausführen.

scanne bitte noch einmal mit:
RKFiles

Zitat

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.08.2005, 12:17
baerle97
...neu hier

Themenstarter

Beiträge: 4
#5 Hallo Sabina,

PC geht wieder. Vielen Dank !!!
AboutBooster ist ohne Fehlermeldungen durchgelaufen, leider hat es mit dem Erstellen des Reports nicht geklappt.

Hier noch die Ergebnisse von RKFiles:

C:\_Install\Tools_System\RKFiles

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
D:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\start.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\windows.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\start.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\windows.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\start.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\windows.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\start.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\win.txt
Finished
bye


Nochmals vielen Dank für die tolle Unterstützung

Gruß Petra
Seitenanfang Seitenende
11.08.2005, 12:21
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@baerle97

Winpfind (bitte abarbeiten und alles posten)
http://virus-protect.org/winpfind.html

mache bitte einen Onlinescan mit:McAfee FreeScan (Online)+ poste den Report ;)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.08.2005, 14:21
baerle97
...neu hier

Themenstarter

Beiträge: 4
#7 Hallo,

[u][b]hier der WinPFind-Report:[/b][/u]

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...
UPX! 08.08.2005 13:16:36 3180 D:\WINDOWS\rkfiles.bat
FSG! 08.08.2005 13:16:36 3180 D:\WINDOWS\rkfiles.bat
PEC2 08.08.2005 13:16:36 3180 D:\WINDOWS\rkfiles.bat

Checking %System% folder...
PEC2 02.04.2003 14:00:00 41118 D:\WINDOWS\SYSTEM32\dfrg.msc
aspack 04.08.2004 00:57:10 733696 D:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 00:57:34 686592 D:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 02.04.2003 14:00:00 1309184 D:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PTech 03.08.2004 22:41:38 1309184 D:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys
UPX! 21.04.2005 10:26:26 962672 D:\WINDOWS\SYSTEM32\drivers\VSAPINT.SYS
aspack 21.04.2005 10:26:26 962672 D:\WINDOWS\SYSTEM32\drivers\VSAPINT.SYS

Items found in D:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder for system and hidden files within the last 60 days...
11.08.2005 11:37:24 1024 D:\WINDOWS\system32\config\default.LOG
11.08.2005 11:36:06 1024 D:\WINDOWS\system32\config\SAM.LOG
11.08.2005 11:37:24 1024 D:\WINDOWS\system32\config\SECURITY.LOG
11.08.2005 14:10:10 1024 D:\WINDOWS\system32\config\software.LOG
11.08.2005 14:06:24 1024 D:\WINDOWS\system32\config\system.LOG
08.08.2005 11:49:14 2495 D:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\Internet Explorer\Desktop.htt
03.07.2005 17:30:52 388 D:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\ef7ef71b-e641-41eb-8dda-b1c6a6ca86c6
03.07.2005 17:30:52 24 D:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
21.05.2005 16:38:48 1936 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
04.04.2005 23:24:44 1737 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
10.08.2005 23:37:18 638 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ISDNWatch.lnk
08.04.2005 15:14:12 1714 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...

Checking files in %USERPROFILE%\Startup folder...

Checking files in %USERPROFILE%\Application Data folder...
06.04.2005 10:58:06 24205 D:\Dokumente und Einstellungen\Petra\Anwendungsdaten\Microsoft Excel.ADR

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = D:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = D:\Programme\ewido\security suite\context.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Mp3 To All Converter
{19780513-C829-11D1-8233-0020AF3E97C9} =
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\SnagItMainShellExt
{CF74B903-3389-469c-B3B6-0204D204FCBD} = D:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WS_FTP
{797F3885-5429-11D4-8823-0050DA59922B} = D:\Programme\Ipswitch\WS_FTP Pro\wsftpsi.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{48F45200-91E6-11CE-8A4F-0080C81A28D4}
= D:\Programme\Trend Micro\PC-cillin 2002\Tmdshell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = D:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WS_FTP
{797F3885-5429-11D4-8823-0050DA59922B} = D:\Programme\Ipswitch\WS_FTP Pro\wsftpsi.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\{48F45200-91E6-11CE-8A4F-0080C81A28D4}
= D:\Programme\Trend Micro\PC-cillin 2002\Tmdshell.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = D:\Programme\ewido\security suite\context.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\SnagItMainShellExt
{CF74B903-3389-469c-B3B6-0204D204FCBD} = D:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= D:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{FED7043D-346A-414D-ACD7-550D052499A7}
= D:\Programme\dBpowerAMP\dBShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} = &Google : d:\programme\google\googletoolbar1.dll
{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} = SnagIt : D:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{92780B25-18CC-41C8-B9BE-3C9C571A8263}
ButtonText = Recherchieren :

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : d:\programme\google\googletoolbar1.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : d:\programme\google\googletoolbar1.dll
{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
PRISMSTA.EXE PRISMSTA.EXE START
PCMService "D:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
Wise-FTP Scheduler
pccguide.exe "D:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
PCCClient.exe "D:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
Pop3trap.exe "D:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
Cmaudio RunDll32 cmicnfg.cpl,CMICtrlWnd
NeroFilterCheck D:\WINDOWS\system32\NeroCheck.exe
SunJavaUpdateSched D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
HotKey D:\WINDOWS\Twain_32\SlimU2\HotKey.exe
FreePDF Assistant D:\Programme\FreePDF_XP\fpassist.exe
PinnacleDriverCheck D:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
KernelFaultCheck %systemroot%\system32\dumprep 0 -k
AVGCtrl D:\Programme\AVPersonal\AVGNT.EXE /min

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE D:\WINDOWS\system32\ctfmon.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = D:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1
DisableTaskMgr 0


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
NoChangingWallPaper 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145
NoActiveDesktop 0
NoSaveSettings 0
ClassicShell 0
NoThemesTab 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableTaskMgr 0
NoDispAppearancePage 0
NoColorChoice 0
NoSizeChoice 0
NoDispBackgroundPage 0
NoDispScrSavPage 0
NoDispCPL 0
NoVisualStyleChoice 0
NoDispSettingsPage 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = D:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = D:\WINDOWS\system32\userinit.exe,
Shell = explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.2.9 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 11.08.2005 14:10:30



[u][b]McAfee sagt folgendes:[/b][/u]

C:\Eigene Dateien\Screenshots\McAfee-wi-fiscan.gif

Gruß Petra
Seitenanfang Seitenende
11.08.2005, 15:27
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@baerle97

es ist alles in schoenster Ordnung ;)

Zitat

damit kann ich nichts anfangen, das musst du auf einen Server laden
C:\Eigene Dateien\Screenshots\McAfee-wi-fiscan.gif
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1