PSGuard, Smitfraud, etc. |
||
---|---|---|
#0
| ||
09.08.2005, 11:36
...neu hier
Beiträge: 4 |
||
|
||
09.08.2005, 13:43
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@baerle97
irgendwas stimmt nicht mit der D:\WINDOWS\MEMORY.DMP geladen am 3.08. 03.08.2005 00:55 536.428.544 MEMORY.DMP D:\WINDOWS\MEMORY.DMP: =ENPeQr}+?F+M=3>^FSg!V_(cS?wd[FD7gc'c einzelne "exe" ueberpruefen http://www.virustotal.com/flash/index_en.html Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten ----------------------------------------------------------------------------------- gehe in die Registry Start-->Ausfuehren-->regedit HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\ loeschen "{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor" -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\q199390_disk.dll" HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ loeschen style2\DLLName = "D:\WINDOWS\q199390_disk.dll" #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [intell32.exe] D:\WINDOWS\system32\intell32.exe O4 - HKLM\..\Run: [PSGuard] D:\Programme\PSGuard\PSGuard.exe PC neustarten Zitat Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.•KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" D:\WINDOWS\system32\intell32.exe D:\Programme\PSGuard\PSGuard.exe D:\Programme\PSGuard D:\WINDOWS\q199390_disk.dll D:\WINDOWS\system32\oleext.dll D:\WINDOWS\system32\tksrv99.exe D:\WINDOWS\system32\ucsi.exe D:\WINDOWS\system32\ole32vbs.exe D:\WINDOWS\system32\hp8A1.tmp D:\WINDOWS\system32\intmonp.exe D:\WINDOWS\system32\spyware.ico D:\WINDOWS\system32\spam.ico D:\WINDOWS\system32\pharm.ico D:\WINDOWS\system32\network.ico D:\WINDOWS\system32\Date.ico D:\WINDOWS\system32\winstyle3.dll D:\WINDOWS\system32\ptainfo2.ico D:\WINDOWS\system32\ptainfo1.ico D:\WINDOWS\popuper.exe D:\WINDOWS\sites.ini D:\WINDOWS\MEMORY.DMP PC neustarten Lade :smitRem TOOL (Entfernungstool) http://noahdfear.geekstogo.com/ Oeffne smitRem folder, Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread Ewido-->scanne + poste das log vom Scan http://virus-protect.org/antivirenfree.html CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein __________ INfo: O20 - Winlogon Notify: style2 - C:\WINDOWS\system32\winstyle3.dll C:\WINDOWS\SYSTEM\tksrv99.exe infected by "Trojan-Dropper.Win32.Agent.ik C:\WINNT\system32\tksrv99.exe infected by "Trojan-Downloader.Win32.Esepor.y" Virus. C:\WINDOWS\System32\ucsi.exe infected by "Backdoor.Win32.Agent.bc" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.08.2005, 23:21
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Sabina,
vielen Dank für die schnelle Hilfe. Es sieht jetzt etwas besser aus aber nicht gut. Die Explorer-Meldung und PSGuard sind weg. Allerdings läuft der PC richtig langsam und mit der Mailübertragung (Outlook) stimmt auch was nicht. Das geht mal und mal nicht. Das mit der Virustotal-Überprüfung hat leider nicht funktioniert. Weder über das direkte upload noch über die Option per Mail konnte ich die memory.dmp überspielen. Aber eine der Routinen hat diese Datei eh gelöscht, von daher scheint das Problem an dieser Stelle behoben zu sein. Hier ist noch das Log von ewido: --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 23:03:31, 09.08.2005 + Report-Checksumme: C834D8FD + Scanergebnis: HKLM\SOFTWARE\Classes\CLSID\{9896231A-C487-43A5-8369-6EC9B0A96CC0} -> Spyware.Hijacker.Generic : Gesäubert mit Backup HKLM\SOFTWARE\Classes\TypeLib\{C5991634-0185-4B0D-B4F9-6C45597962B7} -> Spyware.CoolWebSearch : Gesäubert mit Backup HKU\S-1-5-21-606747145-1343024091-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9896231A-C487-43A5-8369-6EC9B0A96CC0} -> Spyware.Hijacker.Generic : Gesäubert mit Backup C:\data -> TrojanDownloader.IstBar.ja : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0007070.exe.bkp -> TrojanDownloader.Small.aom : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0007689.dll.bkp -> Trojan.Puper.ah : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0007699.dll.bkp -> Trojan.Puper.ah : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0007709.dll.bkp -> Trojan.Puper.ah : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008709.dll.bkp -> Trojan.Puper.ah : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008714.exe.bkp -> Trojan.Puper.af : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008722.exe.bkp -> Trojan.Puper.w : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008723.exe.bkp -> Trojan.Puper.ai : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008737.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008738.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008739.dll.bkp -> Trojan.Puper.ah : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008749.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008750.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008756.exe.bkp -> Trojan.Small.ev : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008762.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008773.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008781.exe.bkp -> TrojanDownloader.Zlob.aa : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008831.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008838.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008854.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008864.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0008892.exe.bkp -> Trojan.Small.ev : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0009137.exe.bkp -> Trojan.Small.ev : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\A0009145.dll.bkp -> Trojan.Small.ev : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\intell32.exe.bad.bkp -> Trojan.Small.ev : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\intell32.exe.bkp -> Trojan.Small.ev : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\intmonp.exe.bkp -> Trojan.Puper.aj : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\q199390_disk.dll.bkp -> TrojanDownloader.Delf.pa : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\TCPService2.exe.bkp -> TrojanDownloader.Agent.kx : Gesäubert mit Backup D:\Programme\EScanCheck\ECBackup\ucsi.exe.bkp -> TrojanDropper.Agent.hc : Gesäubert mit Backup D:\WINDOWS\system32\PSDrvCheck.KO -> Spyware.Hijacker.Generic : Gesäubert mit Backup ::Report Ende Soll ich jetzt noch was anderes machen? Gruß Petra |
|
|
||
10.08.2005, 11:23
Ehrenmitglied
Beiträge: 29434 |
#4
Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.08.2005, 12:17
...neu hier
Themenstarter Beiträge: 4 |
#5
Hallo Sabina,
PC geht wieder. Vielen Dank !!! AboutBooster ist ohne Fehlermeldungen durchgelaufen, leider hat es mit dem Erstellen des Reports nicht geklappt. Hier noch die Ergebnisse von RKFiles: C:\_Install\Tools_System\RKFiles PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ D:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt Files Found in all users startup Folder............ ------------------------ Files Found in all users windows Folder............ ------------------------ D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\win.txt D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\start.txt D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\windows.txt D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\win.txt D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\start.txt D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\windows.txt D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\win.txt D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\start.txt D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\windows.txt D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\win.txt D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\start.txt D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\win.txt Finished bye Nochmals vielen Dank für die tolle Unterstützung Gruß Petra |
|
|
||
11.08.2005, 12:21
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@baerle97
Winpfind (bitte abarbeiten und alles posten) http://virus-protect.org/winpfind.html mache bitte einen Onlinescan mit:McAfee FreeScan (Online)+ poste den Report http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.08.2005, 14:21
...neu hier
Themenstarter Beiträge: 4 |
#7
Hallo,
[u][b]hier der WinPFind-Report:[/b][/u] WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding. If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly. »»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600 Internet Explorer Version: 6.0.2900.2180 »»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»» Checking %SystemDrive% folder... Checking %ProgramFilesDir% folder... Checking %WinDir% folder... UPX! 08.08.2005 13:16:36 3180 D:\WINDOWS\rkfiles.bat FSG! 08.08.2005 13:16:36 3180 D:\WINDOWS\rkfiles.bat PEC2 08.08.2005 13:16:36 3180 D:\WINDOWS\rkfiles.bat Checking %System% folder... PEC2 02.04.2003 14:00:00 41118 D:\WINDOWS\SYSTEM32\dfrg.msc aspack 04.08.2004 00:57:10 733696 D:\WINDOWS\SYSTEM32\ntdll.dll Umonitor 04.08.2004 00:57:34 686592 D:\WINDOWS\SYSTEM32\rasdlg.dll winsync 02.04.2003 14:00:00 1309184 D:\WINDOWS\SYSTEM32\wbdbase.deu Checking %System%\Drivers folder and sub-folders... PTech 03.08.2004 22:41:38 1309184 D:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys UPX! 21.04.2005 10:26:26 962672 D:\WINDOWS\SYSTEM32\drivers\VSAPINT.SYS aspack 21.04.2005 10:26:26 962672 D:\WINDOWS\SYSTEM32\drivers\VSAPINT.SYS Items found in D:\WINDOWS\SYSTEM32\drivers\etc\hosts Checking the Windows folder for system and hidden files within the last 60 days... 11.08.2005 11:37:24 1024 D:\WINDOWS\system32\config\default.LOG 11.08.2005 11:36:06 1024 D:\WINDOWS\system32\config\SAM.LOG 11.08.2005 11:37:24 1024 D:\WINDOWS\system32\config\SECURITY.LOG 11.08.2005 14:10:10 1024 D:\WINDOWS\system32\config\software.LOG 11.08.2005 14:06:24 1024 D:\WINDOWS\system32\config\system.LOG 08.08.2005 11:49:14 2495 D:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\Internet Explorer\Desktop.htt 03.07.2005 17:30:52 388 D:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\ef7ef71b-e641-41eb-8dda-b1c6a6ca86c6 03.07.2005 17:30:52 24 D:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred »»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»» Checking files in %ALLUSERSPROFILE%\Startup folder... 21.05.2005 16:38:48 1936 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk 04.04.2005 23:24:44 1737 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk 10.08.2005 23:37:18 638 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ISDNWatch.lnk 08.04.2005 15:14:12 1714 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk Checking files in %ALLUSERSPROFILE%\Application Data folder... Checking files in %USERPROFILE%\Startup folder... Checking files in %USERPROFILE%\Application Data folder... 06.04.2005 10:58:06 24205 D:\Dokumente und Einstellungen\Petra\Anwendungsdaten\Microsoft Excel.ADR »»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»» [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] SV1 = [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers] HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win {a7cda720-84ee-11d0-b5c0-00001b3ca278} = D:\Programme\AVPersonal\AVShlExt.DLL HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido {57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = D:\Programme\ewido\security suite\context.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Mp3 To All Converter {19780513-C829-11D1-8233-0020AF3E97C9} = HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With {09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\SnagItMainShellExt {CF74B903-3389-469c-B3B6-0204D204FCBD} = D:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WS_FTP {797F3885-5429-11D4-8823-0050DA59922B} = D:\Programme\Ipswitch\WS_FTP Pro\wsftpsi.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{48F45200-91E6-11CE-8A4F-0080C81A28D4} = D:\Programme\Trend Micro\PC-cillin 2002\Tmdshell.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} Start Menu Pin = %SystemRoot%\system32\SHELL32.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win {a7cda720-84ee-11d0-b5c0-00001b3ca278} = D:\Programme\AVPersonal\AVShlExt.DLL HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WS_FTP {797F3885-5429-11D4-8823-0050DA59922B} = D:\Programme\Ipswitch\WS_FTP Pro\wsftpsi.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\{48F45200-91E6-11CE-8A4F-0080C81A28D4} = D:\Programme\Trend Micro\PC-cillin 2002\Tmdshell.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido {57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = D:\Programme\ewido\security suite\context.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\SnagItMainShellExt {CF74B903-3389-469c-B3B6-0204D204FCBD} = D:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627} = D:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{FED7043D-346A-414D-ACD7-550D052499A7} = D:\Programme\dBpowerAMP\dBShell.dll [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376} &Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar] {2318C2B1-4965-11d4-9B18-009027A5CD4F} = &Google : d:\programme\google\googletoolbar1.dll {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} = SnagIt : D:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} MenuText = Sun Java Konsole : D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{92780B25-18CC-41C8-B9BE-3C9C571A8263} ButtonText = Recherchieren : [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478} = HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E} History Band = %SystemRoot%\System32\shdocvw.dll [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll {2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : d:\programme\google\googletoolbar1.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll {2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : d:\programme\google\googletoolbar1.dll {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} = : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] PRISMSTA.EXE PRISMSTA.EXE START PCMService "D:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" Wise-FTP Scheduler pccguide.exe "D:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe" PCCClient.exe "D:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe" Pop3trap.exe "D:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe" Cmaudio RunDll32 cmicnfg.cpl,CMICtrlWnd NeroFilterCheck D:\WINDOWS\system32\NeroCheck.exe SunJavaUpdateSched D:\Programme\Java\jre1.5.0_02\bin\jusched.exe HotKey D:\WINDOWS\Twain_32\SlimU2\HotKey.exe FreePDF Assistant D:\Programme\FreePDF_XP\fpassist.exe PinnacleDriverCheck D:\WINDOWS\system32\PSDrvCheck.exe -CheckReg KernelFaultCheck %systemroot%\system32\dumprep 0 -k AVGCtrl D:\Programme\AVPersonal\AVGNT.EXE /min [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] IMAIL Installed = 1 MAPI Installed = 1 MSFS Installed = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] CTFMON.EXE D:\WINDOWS\system32\ctfmon.exe [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum {BDEADF00-C265-11D0-BCED-00A0C90AB50F} = D:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} = {0DF44EAA-FF21-4412-828E-260A8728E7F1} = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system dontdisplaylastusername 0 legalnoticecaption legalnoticetext shutdownwithoutlogon 1 undockwithoutlogon 1 DisableTaskMgr 0 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop NoChangingWallPaper 0 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun 145 NoActiveDesktop 0 NoSaveSettings 0 ClassicShell 0 NoThemesTab 0 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System DisableTaskMgr 0 NoDispAppearancePage 0 NoColorChoice 0 NoSizeChoice 0 NoDispBackgroundPage 0 NoDispScrSavPage 0 NoDispCPL 0 NoVisualStyleChoice 0 NoDispSettingsPage 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = D:\WINDOWS\System32\stobject.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = D:\WINDOWS\system32\userinit.exe, Shell = explorer.exe System = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain = crypt32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet = cryptnet.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll = cscdll.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy = sclgntfy.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn = WlNotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon = wlnotify.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path Debugger = ntsd -d [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLs »»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» WinPFind v1.2.9 - Log file written to "WinPFind.Txt" in the WinPFind folder. Scan completed on 11.08.2005 14:10:30 [u][b]McAfee sagt folgendes:[/b][/u] C:\Eigene Dateien\Screenshots\McAfee-wi-fiscan.gif Gruß Petra |
|
|
||
11.08.2005, 15:27
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@baerle97
es ist alles in schoenster Ordnung Zitat damit kann ich nichts anfangen, das musst du auf einen Server ladenGruss Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
letzte Woche hat auch bei uns der Virus zugeschlagen. Habe schon alles mögliche versucht, die Sachen zu bereinigen aber bei jedem Neustart ist (fast) alles wieder da.
Es erscheint sofort nach dem Start des PCs folgende Meldung:
explorer.exe - Fehler in Anwendung
Die Anweisung in "0x00000000" verweist auf Speicher in "0x00000000". Der Vorgang "read" konnte nicht auf dem Speicher durchgeführt werden.
Sobald man auf OK klickt, kann man kurz eine Applikation starten und auch damit arbeiten.
Unten in der Taskleiste erscheint ein roter Kreis mit einem weißen Ausrufungszeichen. Manchmal starten sich PSGuard automatisch.
Adaway und Adware-Away erkennen PSGuard und Smitfraud. Nach ein paar Durchgängen kann man das System soweit hinkriegen, dass die Explorermeldung wegbleibt - aber wie gesagt, nach dem Neustart ist alles wieder da.
Ich habe schon einige Sachen aus den verschiedenen Threads versucht aber bis jetzt hat nichts geholfen. Hier sind die Logfiles, die diverse Programme ausgespuckt haben:
Logfile of HijackThis v1.99.0
Scan saved at 11:07:46, on 09.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\WINDOWS\System32\svchost.exe
D:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
D:\WINDOWS\system32\PRISMSTA.EXE
D:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
D:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe
D:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
D:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe
D:\WINDOWS\system32\RunDll32.exe
D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
D:\WINDOWS\Twain_32\SlimU2\HotKey.exe
D:\Programme\FreePDF_XP\fpassist.exe
D:\WINDOWS\system32\intell32.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\_Install\Tools_System\HijackThis\HijackThis.exe
D:\WINDOWS\explorer.exe
D:\WINDOWS\System32\imapi.exe
O1 - Hosts: 213.203.223.16 ftp.physiotherapie-letzigrund.ch
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [PCMService] "D:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [pccguide.exe] "D:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "D:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "D:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [HotKey] D:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [FreePDF Assistant] D:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] D:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [intell32.exe] D:\WINDOWS\system32\intell32.exe
O4 - HKLM\..\Run: [PSGuard] D:\Programme\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://D:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://D:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://D:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://www.diekosoks.de
O23 - Service: PC-cillin PersonalFirewall - Trend Micro Inc. - D:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Inc. - D:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
O23 - Service: X10 Device Network Service - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
DLLCompare
* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________
O^E says: "There were no files found "
________________________________________________
1.311 items found: 1.311 files, 0 directories.
Total of file sizes: 277.700.883 bytes 264,84 M
Administrator Account = Wahr
--------------------End log---------------------
SilentRunners
"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "D:\WINDOWS\system32\ctfmon.exe" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"PRISMSTA.EXE" = "PRISMSTA.EXE START" ["Intersil Americas Inc."]
"PCMService" = ""D:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"" [empty string]
"Wise-FTP Scheduler" = (empty string)
"pccguide.exe" = ""D:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"" ["Trend Micro Inc."]
"PCCClient.exe" = ""D:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"" ["Trend Micro Inc."]
"Pop3trap.exe" = ""D:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"" ["Trend Micro Inc."]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"NeroFilterCheck" = "D:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"SunJavaUpdateSched" = "D:\Programme\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."]
"HotKey" = "D:\WINDOWS\Twain_32\SlimU2\HotKey.exe" ["Pmx. Electronics Ltd."]
"FreePDF Assistant" = "D:\Programme\FreePDF_XP\fpassist.exe" [null data]
"PinnacleDriverCheck" = "D:\WINDOWS\system32\PSDrvCheck.exe -CheckReg" [empty string]
"KernelFaultCheck" = "D:\WINDOWS\system32\dumprep 0 -k" [MS]
"intell32.exe" = "D:\WINDOWS\system32\intell32.exe" [null data]
"PSGuard" = "D:\Programme\PSGuard\PSGuard.exe" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{33D0B7CC-535E-4CD0-B33A-934372B1AEFD}" = "Wise-FTP Network Places"
-> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\we.dll" ["AceBIT GmbH"]
"{48F45200-91E6-11CE-8A4F-0080C81A28D4}" = "TMD Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Trend Micro\PC-cillin 2002\Tmdshell.dll" ["Trend Micro Inc."]
"{771A9DA0-731A-11CE-993C-00AA004ADB6C}" = "VBPropSheet"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Trend Micro\PC-cillin 2002\VBProp.dll" ["Trend Micro Inc."]
"{FED7043D-346A-414D-ACD7-550D052499A7}" = "dBpowerAMP Music Converter 1"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\dBpowerAMP\dBShell.dll" [empty string]
"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpowerAMP Music Converter"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\dBpowerAMP\dMCShell.dll" [empty string]
"{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}" = "SnagIt"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll" ["TechSmith Corporation"]
"{CF74B903-3389-469c-B3B6-0204D204FCBD}" = "SnagIt Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll" ["TechSmith Corporation"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor"
-> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\q199390_disk.dll" [null data]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! style2\DLLName = "D:\WINDOWS\q199390_disk.dll" [null data]
HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
SnagItMainShellExt\(Default) = "{CF74B903-3389-469c-B3B6-0204D204FCBD}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll" ["TechSmith Corporation"]
WS_FTP\(Default) = "{797F3885-5429-11D4-8823-0050DA59922B}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Ipswitch\WS_FTP Pro\wsftpsi.dll" ["Ipswitch, Inc. 10 Maguire Road - Suite 220 Lexington, MA 02421"]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
SnagItMainShellExt\(Default) = "{CF74B903-3389-469c-B3B6-0204D204FCBD}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll" ["TechSmith Corporation"]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WS_FTP\(Default) = "{797F3885-5429-11D4-8823-0050DA59922B}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Ipswitch\WS_FTP Pro\wsftpsi.dll" ["Ipswitch, Inc. 10 Maguire Road - Suite 220 Lexington, MA 02421"]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "D:\WINDOWS\System32\logon.scr" [MS]
Startup items in "Petra" & "All Users" startup folders:
-------------------------------------------------------
D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Adobe Reader - Schnellstart" -> shortcut to: "D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Microsoft Office" -> shortcut to: "D:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "d:\programme\google\googletoolbar1.dll" ["Google Inc."]
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "d:\programme\google\googletoolbar1.dll" ["Google Inc."]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "d:\programme\google\googletoolbar1.dll" ["Google Inc."]
"{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}" = "SnagIt" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll" ["TechSmith Corporation"]
Explorer Bars
Dormant Explorer Bars in "View, Explorer Bar" menu
HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\ = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll" ["Sun Microsystems, Inc."]
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"
HOSTS file
----------
D:\WINDOWS\System32\drivers\etc\HOSTS
maps: 2 domain names to IP addresses,
1 of the IP addresses is *not* localhost!
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Machine Debug Manager, MDM, ""D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
PC-cillin PersonalFirewall, PCCPFW, "D:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe" ["Trend Micro Inc."]
Trend NT Realtime Service, Tmntsrv, ""D:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe"" ["Trend Micro Inc."]
X10 Device Network Service, x10nets, "D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe" ["X10"]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 77 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 10 seconds.
---------- (total run time: 116 seconds)
RKFiles
C:\_Install\Tools_System\RKFiles
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
D:\WINDOWS\system32\intell32.exe: UPX!
D:\WINDOWS\system32\oleext.dll: UPX!
D:\WINDOWS\system32\tksrv99.exe: UPX!
D:\WINDOWS\system32\ucsi.exe: UPX!
D:\WINDOWS\system32\ole32vbs.exe: FSG!
D:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "PEC2" >>c:\win.txt
Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
D:\WINDOWS\MEMORY.DMP: UPX!
D:\WINDOWS\q199390_disk.dll: UPX!
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\start.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\windows.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\start.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "UPX!" >>c:\windows.txt
D:\WINDOWS\MEMORY.DMP: FSG!
D:\WINDOWS\MEMORY.DMP: FSG!
D:\WINDOWS\MEMORY.DMP: =ENPeQr}+?F+M=3>^FSg!V_(cS?wd[FD7gc'c
D:\WINDOWS\popuper.exe: FSG!
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\start.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\windows.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\win.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\start.txt
D:\WINDOWS\rkfiles.bat: strings.exe -a * |find /I "FSG!" >>c:\win.txt
Finished
bye
Dos-Anweisungen
Verzeichnis von D:\WINDOWS\system32
09.08.2005 11:05 13.646 wpa.dbl
09.08.2005 09:58 6.144 intell32.exe
08.08.2005 11:50 52.736 hp8A1.tmp
08.08.2005 08:04 2.048 intmonp.exe
03.08.2005 00:58 766 spyware.ico
03.08.2005 00:58 4.286 spam.ico
03.08.2005 00:58 2.238 pharm.ico
03.08.2005 00:58 2.238 network.ico
03.08.2005 00:58 2.238 Date.ico
03.08.2005 00:51 0 winstyle3.dll
03.08.2005 00:50 4.286 ptainfo2.ico
03.08.2005 00:50 4.286 ptainfo1.ico
24.06.2005 14:43 1.024 pdf2word.DAT
06.06.2005 11:03 982.016 FNTCACHE.DAT
Verzeichnis von D:\DOKUME~1\Petra\LOKALE~1\Temp
09.08.2005 11:05 16.384 ~DFED7D.tmp
09.08.2005 11:05 24.948 jusched.log
09.08.2005 10:38 404 kb.log
21.07.2005 14:04 3.582 TWAIN.LOG
21.07.2005 14:04 431.622 Preview.bmp
21.07.2005 14:04 168 CONFIG.DAT
21.07.2005 14:04 103.950 WhiteDPCM.dat
21.07.2005 14:04 89.100 BlackDPCM.dat
21.07.2005 14:04 30.720 NoStaggerWhiteShading.txt
21.07.2005 14:03 30.720 NoStaggerBlackShading.txt
21.07.2005 14:03 4 Twain001.Mtx
21.07.2005 14:03 156 Twunk001.MTX
20.07.2005 23:40 19.574 java_install_reg.log
19.07.2005 13:41 2.399 psftpfreedirlist.txt
19.07.2005 13:30 16.384 ~WRF0002.tmp
16.07.2005 19:14 80 574F41BA.TMP
15.07.2005 18:26 72 A5B56640.TMP
14.07.2005 14:39 548.352 vs60wiz.exe
13.07.2005 16:36 16.384 ~WRF0001.tmp
28.06.2005 11:43 131 wecerr.txt
25.06.2005 13:24 34.427 SCSILog0.txt
23.06.2005 10:06 315.112 txt19.txt
23.06.2005 10:06 0 txt19.tmp
23.06.2005 09:55 48.225 S2ID.tmp
22.06.2005 17:33 30.720 PreWhiteShading.txt
22.06.2005 17:33 30.720 PreBlackShading.txt
17.06.2005 00:15 67 5DC7ECF2.TMP
08.06.2005 17:35 38.429 SCSILog1.txt
08.06.2005 15:55 844.644 compile.lib
08.06.2005 13:29 5.117 ~WRD2071.doc
08.06.2005 09:13 16.384 ~WRF0000.tmp
06.06.2005 12:03 0 NBRD.tmp
06.06.2005 10:38 42.162 CND1E.tmp
06.06.2005 10:38 42.162 CND1D.tmp
06.06.2005 10:35 0 ~15.tmp
06.06.2005 10:32 0 ~4.tmp
06.06.2005 10:32 0 ~2.tmp
Verzeichnis von D:\WINDOWS
09.08.2005 11:06 0 0.log
09.08.2005 11:05 159 wiadebug.log
09.08.2005 11:05 50 wiaservc.log
09.08.2005 11:05 2.048 bootstat.dat
09.08.2005 11:04 22.953 WindowsUpdate.log
09.08.2005 09:45 4.555 TMFilter.log
09.08.2005 09:43 980.265 setupapi.log
08.08.2005 13:26 148.112 ntbtlog.txt
08.08.2005 13:16 3.180 rkfiles.bat
03.08.2005 01:03 822 win.ini
03.08.2005 00:58 21.357 popuper.exe
03.08.2005 00:58 2.172 sites.ini
03.08.2005 00:55 536.428.544 MEMORY.DMP
27.07.2005 22:29 14.336 q199390_disk.dll
27.07.2005 00:01 29.248 wmsetup.log
27.07.2005 00:00 2.125 OEWABLog.txt
21.07.2005 13:48 52 Pex.INI
21.07.2005 13:41 612 Ulead32.ini
19.07.2005 15:21 259 system.ini
14.07.2005 19:24 374 pdf2rtf.INI
01.07.2005 13:57 111.298 setupact.log
01.07.2005 11:31 116 NeroDigital.ini
30.06.2005 12:40 1.388 IE4 Error Log.txt
Verzeichnis von D:\
09.08.2005 11:31 0 sys.txt
09.08.2005 11:30 7.501 system.txt
09.08.2005 11:29 8.646 systemtemp.txt
09.08.2005 11:28 102.385 system32.txt
09.08.2005 11:04 805.306.368 pagefile.sys
20.07.2005 12:40 55 VS97SP2.LOG
6 Datei(en) 805.424.955 Bytes
0 Verzeichnis(se), 17.111.945.216 Bytes frei
So, das wars ersmal. Hoffe, es kann mir jemand helfen.
Im Voraus schon mal vielen Dank.
Gruß Petra[/img]